Dokumentation: parseHTMLUnsafe() statische Methode

Syntax

Document.parseHTMLUnsafe(input)
Document.parseHTMLUnsafe(input, options)

Parameter

input

Eine TrustedHTML oder String-Instanz, die definiert, welches HTML analysiert werden soll.

options Optional

Ein Optionsobjekt mit den folgenden optionalen Parametern:

sanitizer Optional

Ein Sanitizer oder SanitizerConfig Objekt, das definiert, welche Elemente der Eingabe erlaubt oder entfernt werden. Dies kann auch ein String mit dem Wert "default" sein, welcher einen Sanitizer mit der Standardkonfiguration (XSS-sicher) anwendet. Falls nicht angegeben, wird kein Sanitizer verwendet.

Beachten Sie, dass im Allgemeinen ein Sanitizer effizienter sein dürfte als eine SanitizerConfig, wenn die Konfiguration wiederverwendet werden soll.

Rückgabewert

Ein Document.

Ausnahmen

TypeError

Diese wird ausgelöst, wenn:

• html ein String ist, wenn Trusted Types durch eine CSP durchgesetzt werden, und keine Standardrichtlinie definiert ist.
• options.sanitizer einen:
  • SanitizerConfig erhält, der nicht gültig ist. Zum Beispiel eine Konfiguration, die sowohl "allowed" als auch "removed" Konfigurationseinstellungen enthält.
  • String, der nicht den Wert "default" hat.
  • Wert, der kein Sanitizer, SanitizerConfig oder String ist.

Beschreibung

Die parseHTMLUnsafe() statische Methode kann verwendet werden, um eine neue Document-Instanz zu erstellen und dabei optional unerwünschte Elemente und Attribute herauszufiltern. Das resultierende Document wird einen content type von "text/html", einen character set von UTF-8 und eine URL von "about:blank" haben.

Die eingehende HTML kann deklarative Shadowroots beinhalten. Wenn die HTML-Zeichenkette mehr als eine deklarative Shadowroot in einem bestimmten Shadow Host definiert, dann wird nur das erste ShadowRoot erstellt — nachfolgende Deklarationen werden als <template>-Elemente innerhalb dieser Shadowroot analysiert.

parseHTMLUnsafe() führt standardmäßig keine Sanitärmaßnahmen durch. Wenn kein sanitizer als Parameter übergeben wird, werden alle HTML-Entitäten in der Eingabe injiziert.

Sicherheitsüberlegungen

Das Suffix "Unsafe" im Methodennamen zeigt an, dass es nicht alle XSS-unsicheren HTML-Entitäten entfernt (im Gegensatz zu Document.parseHTML()). Obwohl es dies tun kann, wenn es mit einem geeigneten sanitizer verwendet wird, muss es keinen effektiven sanitizer verwenden — oder überhaupt keinen! Die Methode ist daher ein möglicher Vektor für Cross-Site Scripting (XSS) Angriffe, bei denen potenziell unsichere Strings, die von einem Benutzer bereitgestellt werden, in das DOM injiziert werden, ohne zuvor desinfiziert zu werden.

Sie sollten das Risiko mindern, indem Sie immer TrustedHTML-Objekte anstelle von Strings verwenden und vertrauenswürdige Typen durchsetzen unter Verwendung der require-trusted-types-for CSP-Direktive. Dies stellt sicher, dass die Eingabe durch eine Transformationsfunktion geleitet wird, die die Gelegenheit hat, die Eingabe zu sanitizen, um potenziell gefährlichen Markup (wie <script>-Elemente und Ereignishandler-Attribute) zu entfernen, bevor sie injiziert wird.

Die Verwendung von TrustedHTML ermöglicht es, die Effektivität des Desinfizierungscodes an nur wenigen Stellen zu überprüfen und zu auditieren, anstatt verstreut über alle Ihre Injection-Sink. Sie sollten keinen sanitizer an die Methode übergeben müssen, wenn Sie TrustedHTML verwenden.

Wenn Sie aus irgendeinem Grund TrustedHTML (oder sogar noch besser, setHTML()) nicht verwenden können, dann ist die nächst sicherste Option die Verwendung von setHTMLUnsafe() mit dem XSS-sicheren Standard-Sanitizer.

Spezifikationen

Browser-Kompatibilität

Siehe auch

• Document.parseHTML()
• Element.setHTML() und Element.setHTMLUnsafe()
• ShadowRoot.setHTML() und ShadowRoot.setHTMLUnsafe()
• DOMParser.parseFromString() zum Parsen von HTML oder XML in einen DOM-Baum
• HTML Sanitizer API