首页
/ 解析article-extractor项目中关于data协议图片被过滤的问题

解析article-extractor项目中关于data协议图片被过滤的问题

2025-07-09 19:09:54作者:翟江哲Frasier

在article-extractor项目中,开发者发现了一个关于HTML净化过程中图片被意外过滤的问题。这个问题涉及到使用data协议的图片(如data:image/webp)在通过sanitize-html处理时被移除的情况。

问题背景

article-extractor是一个用于从HTML中提取文章内容的工具库。在内容提取过程中,它会先对输入的HTML进行净化(purify)处理,以确保安全性。然而,开发者发现当HTML中包含使用data协议的图片时,这些图片元素会被意外地从最终结果中移除。

技术分析

问题的根源在于sanitize-html库的默认配置中不包含data协议。sanitize-html是一个广泛使用的HTML净化库,它默认只允许一些常见的协议(如http、https、ftp等)出现在URL属性中。data协议用于在HTML中直接嵌入二进制数据(如图片),但出于安全考虑,默认情况下不被允许。

在article-extractor的净化函数中,虽然设置了allowedTags: falseallowedAttributes: false来允许所有标签和属性,但没有显式地允许data协议:

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
  })
}

解决方案

要解决这个问题,需要在净化配置中显式地允许data协议。可以通过修改净化函数如下:

export const purify = (html) => {
  return sanitize(html, {
    allowedTags: false,
    allowedAttributes: false,
    allowVulnerableTags: true,
    allowedSchemes: sanitize.defaults.allowedSchemes.concat(['data']),
  })
}

这样修改后,使用data协议的图片就能被保留下来。

安全考虑

虽然允许data协议可以解决图片被过滤的问题,但开发者需要注意潜在的安全风险:

  1. data协议可能被用于注入恶意脚本
  2. 过大的data URL可能影响性能
  3. 某些浏览器可能对data URL的大小有限制

在实际应用中,开发者应该根据具体需求权衡安全性和功能性,决定是否允许data协议。

项目更新

在article-extractor的后续版本中,开发者已经调整了处理逻辑,不再依赖净化后的HTML内容作为提取引擎的输入,从而间接解决了这个问题。这种架构上的调整使得内容提取过程更加灵活,减少了对HTML净化步骤的依赖。

登录后查看全文
热门项目推荐

项目优选

收起
kernelkernel
deepin linux kernel
C
22
6
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
162
2.05 K
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
146
191
leetcodeleetcode
🔥LeetCode solutions in any programming language | 多种编程语言实现 LeetCode、《剑指 Offer(第 2 版)》、《程序员面试金典(第 6 版)》题解
Java
60
16
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
198
279
apintoapinto
基于golang开发的网关。具有各种插件,可以自行扩展,即插即用。此外,它可以快速帮助企业管理API服务,提高API服务的稳定性和安全性。
Go
22
0
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
950
556
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
96
15
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
346
1.33 K