解析article-extractor项目中关于data协议图片被过滤的问题

在article-extractor项目中，开发者发现了一个关于HTML净化过程中图片被意外过滤的问题。这个问题涉及到使用data协议的图片（如data:image/webp）在通过sanitize-html处理时被移除的情况。

问题背景

article-extractor是一个用于从HTML中提取文章内容的工具库。在内容提取过程中，它会先对输入的HTML进行净化(purify)处理，以确保安全性。然而，开发者发现当HTML中包含使用data协议的图片时，这些图片元素会被意外地从最终结果中移除。

技术分析

问题的根源在于sanitize-html库的默认配置中不包含data协议。sanitize-html是一个广泛使用的HTML净化库，它默认只允许一些常见的协议（如http、https、ftp等）出现在URL属性中。data协议用于在HTML中直接嵌入二进制数据（如图片），但出于安全考虑，默认情况下不被允许。

在article-extractor的净化函数中，虽然设置了allowedTags: false和allowedAttributes: false来允许所有标签和属性，但没有显式地允许data协议：

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
  })
}

解决方案

要解决这个问题，需要在净化配置中显式地允许data协议。可以通过修改净化函数如下：

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
    allowedSchemes: sanitize.defaults.allowedSchemes.concat(['data']),
  })
}

这样修改后，使用data协议的图片就能被保留下来。

安全考虑

虽然允许data协议可以解决图片被过滤的问题，但开发者需要注意潜在的安全风险：

1. data协议可能被用于注入恶意脚本
2. 过大的data URL可能影响性能
3. 某些浏览器可能对data URL的大小有限制

在实际应用中，开发者应该根据具体需求权衡安全性和功能性，决定是否允许data协议。

项目更新

在article-extractor的后续版本中，开发者已经调整了处理逻辑，不再依赖净化后的HTML内容作为提取引擎的输入，从而间接解决了这个问题。这种架构上的调整使得内容提取过程更加灵活，减少了对HTML净化步骤的依赖。