DOM提取 url 和标题时存在更大的安全风险-解网

首页
技术问答
DOM提取 url 和标题时存在更大的安全风险

问：

我需要解析来自不受信任来源的 HTML 字符串，以便提取超链接标题和 URL。

我假设 DOMParser 不会执行任何 javascript，也不会发出任何网络请求（例如加载任何 img 标签的 src）？

我将拒绝任何不以 http:// 或 https:// 开头的网址

我还将确保我永远不会使用将任何链接标题写入页面，并将始终用于设置链接标题。.innerHTMLa.textContent = ...

我是否应该注意其他安全注意事项？DOMParser 是完全沙盒化的吗？

const html = `<h1><a href="https://www.wikipedia.org">Wikipedia</a></h1>`;

const parser = new DOMParser();
const doc = parser.parseFromString(html, 'text/html');
const link = doc.querySelector('a');
console.log(`${link.textContent} ${link.href}`);

JavaScript HTML 解析

答： 暂无答案

上一个：在 JavaScript 中如何解析 HTML 字符串以转换为表格数据（二维数组）

下一个：将 2 列 HTML 表格内容转换为 2d 数组

DOM提取 url 和标题时存在更大的安全风险

DOMParser security risks when extracting urls and titles

评论