Stirling-PDF中HTML转PDF时CSS样式失效问题解析

问题背景

在使用Stirling-PDF工具进行HTML到PDF转换时，开发者发现内嵌在HTML文件中的CSS样式无法正确应用到生成的PDF文档中。通过对比直接使用WeasyPrint命令行工具和通过Stirling-PDF转换的结果，确认这是一个与Stirling-PDF处理流程相关的问题。

问题现象

当开发者提交包含内嵌CSS样式的HTML文件时，生成的PDF文档丢失了所有样式信息，包括：

• 表格边框样式
• 标题颜色和字体大小
• 单元格背景色
• 文本对齐方式等

而直接使用WeasyPrint命令行工具转换相同的HTML文件，则能正确保留所有样式。

根本原因分析

通过查看Stirling-PDF的日志与WeasyPrint直接运行的日志对比，发现关键差异在于：

1. HTML清理过程：Stirling-PDF在将HTML文件传递给WeasyPrint之前会执行清理(sanitize)操作，这会导致：

   • 仅保留<body>标签内的内容
   • 移除class、scope等属性
   • 丢失<head>中的样式定义

2. CSS处理步骤缺失：WeasyPrint处理流程中的"Step 2 - Fetching and parsing CSS"在Stirling-PDF运行时被跳过，因为相关样式信息已被清理。

解决方案

临时解决方案

在Stirling-PDF的配置文件settings.yml中设置：

disableSanatize: true

这将禁用HTML清理功能，保留原始HTML结构和样式。

长期建议

对于需要安全防护的场景，可以考虑以下替代方案：

1. 内联样式：将CSS样式以内联方式写入HTML元素中，因为清理过程通常会保留内联样式。

2. 自定义清理策略：修改清理策略以保留必要的样式信息，同时仍过滤潜在危险内容。

3. 样式文件分离：将CSS样式提取到外部文件中，通过WeasyPrint的CSS加载功能引用。

安全考量

禁用清理功能虽然能解决样式问题，但会带来潜在安全风险，特别是在以下场景：

• HTML内容来自不可信来源
• 文档可能包含恶意脚本
• 系统暴露在公共网络中

建议在air-gapped(物理隔离)环境中使用禁用清理的方案，或实施额外的安全措施。

技术实现细节

Stirling-PDF使用OWASP Java HTML Sanitizer进行HTML清理，默认配置较为严格。开发者可以通过调整清理策略来平衡功能与安全需求，例如允许常见样式属性同时过滤脚本等危险内容。

总结

HTML到PDF转换过程中的样式丢失问题源于安全清理过程与样式保留需求之间的冲突。通过理解Stirling-PDF的工作机制，开发者可以根据具体应用场景选择最适合的解决方案，在功能完整性和系统安全性之间取得平衡。