Matomo会话录制功能中的CSS类名过滤问题解析

问题背景

Matomo作为一款开源网站分析工具，其会话录制功能可以记录用户在网站上的操作行为。然而，在最新版本中发现了一个影响CSS样式渲染的问题：在录制会话时，系统会过滤掉部分HTML元素的class属性，导致回放时页面样式显示异常。

问题现象

当用户查看录制的会话时，某些CSS样式无法正确应用。通过开发者工具检查发现，Matomo生成的iframe中部分HTML元素的class属性被移除。例如：

• 原始页面中的<div class="rte product-single__description hiddendescription">
• 录制后变为<div>

这种差异导致页面在回放时无法保持与原始页面一致的视觉效果。

技术原因分析

经过开发团队调查，确认该问题源于Matomo的XSS(跨站脚本)安全防护机制。当前实现中存在以下技术细节：

1. 安全过滤逻辑：系统会检查HTML属性值中是否包含"script"字符串
2. 误判情况：当class属性中包含"description"这类包含"script"子字符串的值时，会被错误地识别为潜在XSS攻击
3. 处理方式：系统会直接移除整个class属性，而不仅仅是可疑部分

解决方案

Matomo团队已在HeatmapandSessionRecording插件的5.1.7版本中修复此问题。主要改进包括：

1. 优化了XSS检查算法，避免对合法class名称的误判
2. 保留了完整的class属性，确保样式正确应用
3. 同时维持了原有的安全防护级别

最佳实践建议

对于使用会话录制功能的开发者，建议：

1. 及时更新到最新版本插件
2. 在自定义CSS命名时，避免使用可能触发XSS检查的关键词
3. 定期检查录制回放效果，确保与原始页面一致
4. 对于关键页面元素，可考虑添加数据属性作为备用选择器

总结

Matomo会话录制功能中的CSS类名过滤问题展示了安全防护与功能完整性之间的平衡挑战。通过这次修复，Matomo既保持了系统的安全性，又确保了录制内容的准确性。这类问题的解决也体现了开源社区快速响应和持续改进的优势。