问题标签 [dompurify]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
29 浏览

xss - 当我使用 Dompurify sanitize 时,如何让布尔值保持不变?

当我使用 Dompurify sanitize 时,如何让布尔值保持不变?

0 投票
1 回答
558 浏览

nuxt.js - 如何在 NuxtJS 中使用 DOMPurify 包?错误:“default.a.sanitize 不是函数”

我正在尝试在我的 NuxtJS 应用程序中使用 DOMPurify 包将 HTML 解析为干净且安全的字符串,以便在 UI 中呈现。渲染使用包的页面时,出现以下错误:

dompurify__WEBPACK_IMPORTED_MODULE_1___default.a.sanitize is not a function

关于如何解决这个问题的任何建议?我在此处的代码框中有此代码:https://codesandbox.io/s/reverent-bardeen-kh4wg?file=/pages/index.vue: 0-2868

我已将包导入到我的单个文件组件中,如下所示:

0 投票
0 回答
66 浏览

reactjs - 使用 dangerouslySetInnerHTML 解析 HTML 时如何忽略 img 标签?

我正在制作一个带有反应的公告板。在这里,帖子列表实现为 CardView。其内容包括缩略图、标题和部分内容。将列表中内容对应的部分带入dangerlySetInnerHTML,甚至解析img标签。有没有办法忽略 img 标签?

在此处输入图像描述

内容如下。

下面是代码。

如何忽略图像标签?

0 投票
0 回答
30 浏览

javascript - 如何删除 DOMPurify 中的整个元素?

因此,当我传入<img src=x onerror=alert(1)>DOMPurify 时,它会返回<img src="x">. 是否有删除整个元素的选项?谢谢。

0 投票
0 回答
102 浏览

javascript - Dompurify 将“<”转换为“<”

我正在使用 DOMPurify 清理我的 HTML 内容。一切正常,但是当我使用字符<and>时,它被转换为&lt;and&gt;

例如:We have <a>Tea</a> // Outputs: We have Tea

例如:Use '<' and '>' to compare values // Outputs: Use '&lt;' and '&gt;' to compare values

问题在于第二个例子。我想将其显示<%lt;

所以我唯一的选择是在通过 DOMPurify 来替换&lt;and &gt;with <and之后执行字符串替换>。还有其他选择吗?

0 投票
3 回答
827 浏览

javascript - 在我的 React SharePoint Modern Web 部件中使用 dangerouslySetInnerHTML 的安全方式

我正在尝试构建一个 React.js SharePoint 现代 Web 部件,它具有以下功能:-

  1. 在 Web 部件设置页面 >> 中有 2 个名为“我们是谁”和“我们的价值”的字段,允许用户输入 HTML。

  2. Web 部件将呈现 2 个按钮“我们是谁”和“我们的价值”>>,当用户单击任何按钮 >> 将显示一个弹出窗口,其中包含在步骤 1 中输入的 HTML 代码

如下:-

在此处输入图像描述

但是为了能够在我的 Web 部件中将 HTML 代码呈现为富文本,我必须使用dangerouslySetInnerHTML.tsx 文件中的属性。如下:-

为了确保安全dangerouslySetInnerHTML我执行了以下步骤:-

1- 在我的 Node.Js CMD 中 >> 我在我的项目目录中运行这个命令:-

2-然后在我上面.tsx我做了以下修改:-

  • 我添加了这个导入import { sanitize } from 'dompurify';
  • <p dangerouslySetInnerHTML={{__html:myprops.OurValue}}></p>我用这个替换了这个不安全的代码<div dangerouslySetInnerHTML={{ __html: sanitize(myprops.OurValue) }} />

所以我的问题是: -

  1. 是我试图确保dangerouslySetInnerHTML正确的方式吗?或者我错过了什么?

  2. 第二个问题,我如何测试该sanitize()方法是否有效?

这是我的完整网络部件代码:-

在 MyModalPopupWebPart.ts 中:-

在 MyModalPopup.tsx 中:-

0 投票
1 回答
416 浏览

node.js - nodemon 开始 `node server.js` TypeError: 标记的不是函数

我正在创建一个博客,使用这个“Web Dev Simplified”教程: https ://www.youtube.com/watch?v=1NrHkjlWVhM

我从 git hub https://github.com/WebDevSimplified/Markdown-Blog复制了代码,安装了节点模块并将其在线链接到我的 mongodb 数据库。

节点模块包括;express,猫鼬,ejs,--save-dev nodemon,slugify,方法覆盖,dompurify,jsdom。

数据库正在运行,我可以保存文章,直到我添加了关于清理 HTML 并将 markdown 转换为 HTML 的最后一部分,这时出现“TypeError:marked is not a function”,并且保存按钮停止工作。

由于最近的节点模块依赖关系(dompurify 库或 jsdom),似乎曾经理解的功能现在不被理解。我在这里真的超出了我的深度!请帮忙!

0 投票
2 回答
82 浏览

javascript - 如何在 React js 中加载 API 数据视频 url

我已经安装了 dompurify react js 库并从 API 加载了所有竞争,但 API youtube URL 视频无法加载,但可以在 API 中看到。

接口:

代码:

0 投票
1 回答
21 浏览

javascript - 用 JS dompurify 检查 SVG

我正在使用DomPurify清理 SVG 代码。

它工作正常但是如果在文本区域中输入的 SVG 代码无效,我想显示一条消息。

我正在尝试将添加的 SVG 代码与已清理的 SVG 代码进行比较。如果它们不同,我将显示一条消息。

问题:我不断得到,Uuuh-oooh! The SVG code is not valid!因为 dompurify 将关闭路径/>变成完整路径'`。

0 投票
1 回答
42 浏览

javascript - 在 React 中解码字符串

我正在显示用户对 DomPurify 做出反应的评论。当用户输入一个危险的字符串时:例如'它被编码,我怎样才能安全地解码它?

编码字符串反应

这是代码:

提前致谢