html_sanitize_attribute
Директива `html_sanitize_attribute` указывает, какие HTML-атрибуты разрешены при санитизации HTML-контента.
Описание
Директива html_sanitize_attribute является частью модуля NGINX, предназначенного для санитизации содержимого HTML5. Она позволяет пользователям определить белый список HTML-атрибутов, которые разрешены при обработке HTML-элементов. Используя эту директиву, администраторы могут защитить свои приложения от потенциально вредоносных атрибутов, которые могут привести к уязвимостям безопасности, таким как XSS (межсайтовый скриптинг). Директива принимает одно или несколько значений аргумента, каждое из которых представляет имя атрибута, которое должно сохраняться в очищенном выводе.
Когда запрос обрабатывается, санитизатор оценивает атрибуты HTML-элементов по списку, указанному в html_sanitize_attribute. Если атрибут отсутствует в белом списке, он будет удалён из выходного HTML. Эта функция работает вместе с другими директивами, которые задают допустимые HTML-элементы и CSS-свойства. Она помогает обеспечивать более строгую политику безопасности, гарантируя включение только безопасных атрибутов, что позволяет сохранять контроль над рендерингом HTML и снижать риски, связанные с произвольным вводом контента.
Пример конфига
location /sanitize {
html_sanitize_attribute src href;
html_sanitize_attribute class id;
}Убедитесь, что все необходимые атрибуты внесены в белый список; в противном случае функциональность может нарушиться из-за их отсутствия.
Проявляйте осторожность с атрибутами, такими как 'style': при неправильной настройке они могут представлять риск для безопасности.