解析article-extractor项目中关于data协议图片被过滤的问题
在article-extractor项目中,开发者发现了一个关于HTML净化过程中图片被意外过滤的问题。这个问题涉及到使用data协议的图片(如data:image/webp)在通过sanitize-html处理时被移除的情况。
问题背景
article-extractor是一个用于从HTML中提取文章内容的工具库。在内容提取过程中,它会先对输入的HTML进行净化(purify)处理,以确保安全性。然而,开发者发现当HTML中包含使用data协议的图片时,这些图片元素会被意外地从最终结果中移除。
技术分析
问题的根源在于sanitize-html库的默认配置中不包含data协议。sanitize-html是一个广泛使用的HTML净化库,它默认只允许一些常见的协议(如http、https、ftp等)出现在URL属性中。data协议用于在HTML中直接嵌入二进制数据(如图片),但出于安全考虑,默认情况下不被允许。
在article-extractor的净化函数中,虽然设置了allowedTags: false和allowedAttributes: false来允许所有标签和属性,但没有显式地允许data协议:
export const purify = (html) => {
return sanitize(html, {
allowedTags: false,
allowedAttributes: false,
allowVulnerableTags: true,
})
}
解决方案
要解决这个问题,需要在净化配置中显式地允许data协议。可以通过修改净化函数如下:
export const purify = (html) => {
return sanitize(html, {
allowedTags: false,
allowedAttributes: false,
allowVulnerableTags: true,
allowedSchemes: sanitize.defaults.allowedSchemes.concat(['data']),
})
}
这样修改后,使用data协议的图片就能被保留下来。
安全考虑
虽然允许data协议可以解决图片被过滤的问题,但开发者需要注意潜在的安全风险:
- data协议可能被用于注入恶意脚本
- 过大的data URL可能影响性能
- 某些浏览器可能对data URL的大小有限制
在实际应用中,开发者应该根据具体需求权衡安全性和功能性,决定是否允许data协议。
项目更新
在article-extractor的后续版本中,开发者已经调整了处理逻辑,不再依赖净化后的HTML内容作为提取引擎的输入,从而间接解决了这个问题。这种架构上的调整使得内容提取过程更加灵活,减少了对HTML净化步骤的依赖。
atomcodeClaude Code 的开源替代方案。连接任意大模型,编辑代码,运行命令,自动验证 — 全自动执行。用 Rust 构建,极致性能。 | An open-source alternative to Claude Code. Connect any LLM, edit code, run commands, and verify changes — autonomously. Built in Rust for speed. Get StartedRust0444
源启盛夏_AtomGit暑期开发者成长计划「源启盛夏」暑期校园开发者成长计划旨在激活校园开源力量,通过积分激励、认证扶持、资源倾斜等形式,引导高校组织和开发者完成「入驻 — 建项目 — 做贡献 — 获认证 — 得资源」的完整闭环。无论你是想带领社团入驻平台的组织者,还是希望用代码贡献证明自己的开发者,都能在这里找到属于你的成长路径。Markdown00
jiuwenswarmJiuwenSwarm 是一款基于openJiuwen开发的智能AI Agent,它能够将大语言模型的强大能力,通过你日常使用的各类通讯应用,直接延伸至你的指尖。Python0760
Hy3Hy3 是由腾讯混元团队研发的快慢思考融合的混合专家模型,总参数量 295B,激活参数 21B,MTP 层参数 3.8B。4 月底发布 Hy3 Preview 后,我们在 50 多个业务中获得了广泛的反馈,修复了各种体验问题,进一步提升了后训练的质量和规模。今天,我们发布 Hy3。它展现出显著强于同尺寸并比肩旗舰(参数规模往往是 Hy3 的 2~5 倍)开源模型的智能水平,显著提升了在各类产品和生产力任务中的实用价值。Python00
AscendNPU-IRAscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优C++0310
DragonOSDragonOS is an operating system developed from scratch using Rust, with Linux compatibility. It is designed for **Serverless** scenarios. 使用Rust从0自研内核,具有Linux兼容性的操作系统,面向云计算Serverless场景而设计。Rust00