首页
/ 解析article-extractor项目中关于data协议图片被过滤的问题

解析article-extractor项目中关于data协议图片被过滤的问题

2025-07-09 19:09:54作者:翟江哲Frasier

在article-extractor项目中,开发者发现了一个关于HTML净化过程中图片被意外过滤的问题。这个问题涉及到使用data协议的图片(如data:image/webp)在通过sanitize-html处理时被移除的情况。

问题背景

article-extractor是一个用于从HTML中提取文章内容的工具库。在内容提取过程中,它会先对输入的HTML进行净化(purify)处理,以确保安全性。然而,开发者发现当HTML中包含使用data协议的图片时,这些图片元素会被意外地从最终结果中移除。

技术分析

问题的根源在于sanitize-html库的默认配置中不包含data协议。sanitize-html是一个广泛使用的HTML净化库,它默认只允许一些常见的协议(如http、https、ftp等)出现在URL属性中。data协议用于在HTML中直接嵌入二进制数据(如图片),但出于安全考虑,默认情况下不被允许。

在article-extractor的净化函数中,虽然设置了allowedTags: falseallowedAttributes: false来允许所有标签和属性,但没有显式地允许data协议:

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
  })
}

解决方案

要解决这个问题,需要在净化配置中显式地允许data协议。可以通过修改净化函数如下:

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
    allowedSchemes: sanitize.defaults.allowedSchemes.concat(['data']),
  })
}

这样修改后,使用data协议的图片就能被保留下来。

安全考虑

虽然允许data协议可以解决图片被过滤的问题,但开发者需要注意潜在的安全风险:

  1. data协议可能被用于注入恶意脚本
  2. 过大的data URL可能影响性能
  3. 某些浏览器可能对data URL的大小有限制

在实际应用中,开发者应该根据具体需求权衡安全性和功能性,决定是否允许data协议。

项目更新

在article-extractor的后续版本中,开发者已经调整了处理逻辑,不再依赖净化后的HTML内容作为提取引擎的输入,从而间接解决了这个问题。这种架构上的调整使得内容提取过程更加灵活,减少了对HTML净化步骤的依赖。

登录后查看全文
热门项目推荐
相关项目推荐