OMPurify 是一個只針對 DOM 的、超快的、超容忍的 HTML、MathML 和 SVG 跨站腳本清理器。

DOMPurify 于 2014 年 2 月發布，目前已經達到 v3.0.8 版本。

DOMPurify 是用 JavaScript 編寫的，在所有現代瀏覽器(Safari(10 )，Opera(15 )，Edge,Firefox 和 Chrome - 以及幾乎所有使用 Blink,Gecko 或 WebKit 的瀏覽器)上都可以運行，它不會在 MSIE 或其他舊版瀏覽器上崩潰。

注意 DOMPurify v2.4.7 是支持 MSIE 的最新版本。對于兼容 MSIE 的重要安全更新，請使用 2.x 分支。

我們的自動化測試現在覆蓋了 19 個不同的瀏覽器，未來還會覆蓋更多。我們還覆蓋了 Node.js v16.x, v17.x, v18.x 和 v19.x，在 jsdom 上運行 DOMPurify。已知的舊版本也能工作，但是嘿......不保證。

DOMPurify 是由在 Web 攻擊和 XSS 方面有廣泛背景的安全人員編寫的。不要害怕。更多細節請閱讀我們的安全目標和威脅模型。

它有什么作用？

DOMPurify 凈化 HTML 并防止跨站腳本攻擊。你可以用充滿臟 HTML 的字符串來喂養 DOMPurify，它會返回一個干凈的 HTML 字符串(除非另外配置)。DOMPurify 會剝離所有包含危險 HTML 的內容，從而防止跨站腳本攻擊和其他臟東西。它也非常快。我們使用瀏覽器提供的技術，并將它們轉換為跨站腳本過濾器。你的瀏覽器越快，DOMPurify 就會越快。

我如何使用它?

這很簡單，只需要在你的網站上包含 DOMPurify。

使用未壓縮的開發版本

<script type="text/javascript" src="src/purify.js"></script>

使用壓縮并測試過的生產版本(源碼映射可用)

<script type="text/javascript" src="dist/purify.min.js"></script>

之后，您可以通過執行以下代碼來清理字符串：

const clean = DOMPurify.sanitize(dirty);

或者，如果你喜歡使用 Angular 或類似的框架，可以這樣：

import * as DOMPurify from "dompurify";

const clean = DOMPurify.sanitize("<b>hello there</b>");

可以使用 innerHTML 將生成的 HTML 寫入 DOM 元素，或者使用 document.write() 將結果寫入 DOM。這完全取決于你。請注意，默認情況下，我們允許 HTML、SVG 和 MathML。如果您只需要 HTML（這可能是一個非常常見的用例），您也可以輕松進行設置：

const clean = DOMPurify.sanitize(dirty, { USE_PROFILES: { html: true } });

在服務器上運行 DOMPurify

DOMPurify 技術上也支持 Node.js 服務器端，我們的支持會盡量跟隨 Node.js 的發布周期。

在服務器上運行 DOMPurify 需要一個 DOM，這可能并不奇怪，通常，jsdom 是首選工具，我們強烈推薦使用最新版本的 jsdom。

為什么？因為舊版本的jsdom在某些方面有漏洞，即使DOMPurify100%正確，也會導致跨站腳本攻擊。例如，jsdom v19.0.0中的攻擊向量在jsdom v20.0.0中得到了修復 - 因此，我們強烈建議使用最新的jsdom。

對于 jsdom(請使用最新版本)，這應該可以做到：

const createDOMPurify = require('dompurify');
const { JSDOM } = require('jsdom');

const window = new JSDOM('').window;
const DOMPurify = createDOMPurify(window);
const clean = DOMPurify.sanitize('<b>hello there</b>');

或者，如果你更喜歡使用導入：

import { JSDOM } from 'jsdom';
import DOMPurify from 'dompurify';

const window = new JSDOM('').window;
const purify = DOMPurify(window);
const clean = purify.sanitize('<b>hello there</b>');

DOMPurify：一個只針對 DOM 的、超快的、寬容的 HTML XSS清理工具
原文鏈接：https://juejin.cn/post/7326868147079987254

報道稱“瀏覽器內核有上千萬行代碼”，瀏覽器內核真的很復雜嗎？

HTML的設計都臟掉了，誰也搞不清楚什么才是標準。網頁的各種玩意兒也是。現在瀏覽器內核的情況是它要兼容各種奇奇怪怪的東西，還要正確顯示，而且，因為積重難返，瀏覽器內核廠商也完全參與到了規則的制定中。我覺得這些東西設計得足以令人類自己感到羞恥。

W3C要是真的有毅力，足夠明智的話，就應該知道不把標準推倒重來不行了，這東西已經復雜和不規律到無人可以理解了。當然，祖傳代碼的確應該祖傳。

其實這些東西設計的關鍵是大家都能認同，像Content MathML，沒有瀏覽器支持，Presentation MathML呢，就連支持的號稱最好的Firefox，我試過了，感覺還差的遠，最后導致大家在網頁排版數學時都是自己想騷套路，就這標準，竟然還進了HTML5。像數據交換現在很多用json，其實可能CSEXP改改可能更好，但壓根沒人用。當年LISPER們搞了個DSSSL，雖然好，最后也沒能得到廣泛認可（雖然它的失敗應該附屬于SGML的失敗，但DSSSL也可以改改用于XML，沒毛病吧）。因為歷史原因，W3C里存留有很多死掉的東西，它們并不是不好，只是沒有人用，或者沒人會實現，沒人想實現。

我現在已經沒什么所謂了，就希望哪天推倒重來，設計得差點就差點了，只要能擴展，設計得規律一些就可以了，大家就按著這個標準來，那樣瀏覽器內核的壟斷時代真的就結束了。

以下是四位網友對此的看法

網友一：網頁世界不存在推倒重來，現在唯一可能的是Web Assembly代替js，然后利用瀏覽器的2d和3d渲染能力再造一個新渲染層，就像當初的flash一樣，逐漸淘汰html。

網友二：推到重來是不可能的，只能讓時間去消化一切。就是等過些年，再把落后的設計淘汰掉不再兼容，雖然短期內會很棘手（太復雜了難免各種bug），但這是最現實的辦法

網友三：推倒重來是不可能的，這違反了網頁的基本原則。沒人敢制定不向下兼容的網頁標準，就算制定了，瀏覽器也不敢照著實現。誰不兼容誰就死。

網友四：推倒重來你看看有沒有用戶使用，開發者愿不愿意支持，企業愿不愿意付出額外的成本，只能說太難

#不想敲代碼# #干凈的搜索引擎# #代碼解鎖# #前端算程序猿嗎# #軟件如何開發# #API版本# #it先瘋# #好用的開源軟件# #程序員不能噶# #系統開發案例#