html_sanitize_iframe_url_domain
根据指定的白名单,对 iframe 标签中出现的 URLs 的域名进行清理。
NGINX module to sanitize HTML 5 with whitelisted elements, attributes and CSS
·
location
语法html_sanitize_iframe_url_domain domain1 [domain2 ...];
默认值none
上下文location
参数1+
说明
html_sanitize_iframe_url_domain 指令在 NGINX 中属于 HTML 清理模块的一部分,该模块通过限制标签、属性及其相应的值来处理 HTML 内容,以强制执行安全性和完整性。具体来说,该指令负责验证并清理 iframe 标签中 URL 的域名,以确保仅允许列入白名单的域名。这一点在 Web 应用中尤为重要,可以防止跨站脚本(XSS)攻击,因为恶意内容可能通过指向不受信任域名的 iframe 注入。
在配置 html_sanitize_iframe_url_domain 时,你可以指定一个或多个被允许包含在 iframe URLs 中的域名。该指令接受域名列表,并在处理 HTML 时将传入的 URLs 与该白名单进行校验。如果某个 URL 与任何允许的域名都不匹配,则会被过滤掉,从而确保 iframe 中只显示来自受信任来源的内容。该指令的优点在于能够在不影响嵌入受信任第三方内容功能的前提下增强安全性。
该指令必须放在 NGINX 配置的 location 块中。它可以接受多个域名作为参数,从而在指定不同主机时提供灵活性。
配置示例
location /sanitized {
html_sanitize on;
html_sanitize_iframe_url_domain "example.com" "trusted.com";
}⚠
如果需要,务必在 URL 方案中包含协议;未包含 'http://' 或 'https://' 可能导致意外阻止。
⚠
对通配符条目要小心;如果处理不当,它们可能引入安全漏洞。
⚠
使用过于宽松的域名白名单会抵消输入清理的效果。