html_sanitize_iframe_url_protocol
`html_sanitize_iframe_url_protocol` 指令指定在已清理的 HTML 中 iframe `src` 属性允许使用的 URL 协议。
NGINX module to sanitize HTML 5 with whitelisted elements, attributes and CSS
·
location
语法html_sanitize_iframe_url_protocol protocol;
默认值none
上下文location
参数1+
说明
html_sanitize_iframe_url_protocol 指令是 NGINX HTML Sanitization 模块的一部分,旨在通过限制 <iframe> 标签允许的协议来强化安全性。该指令接受一个或多个协议参数,允许配置通过 iframe 嵌入的外部内容的安全标准。当处理包含 HTML 内容的请求时,该指令会将指定的协议与任何 iframe URL 的来源进行比对。如果所提供的 iframe 源的协议与此指令指定的协议不匹配,系统会根据配置要么修改该 iframe 以移除 URL,要么完全阻止该 iframe。
该指令的上下文仅限于 location,这意味着它可以在 NGINX 配置的 location 块内定义。此功能使其在为特定路由提供安全保障时具有灵活性,同时允许在应用的不同区域采用不同的安全设置。通过指定诸如 https 或 data 等协议,管理员可以控制用户在浏览器环境中能够访问的外部内容类型,从而防止恶意内容注入或在安全浏览时出现混合内容问题。
在配置该指令时,除了安全性之外,还应考虑用户体验。仅允许 https 的严格策略可能确实能保护用户免受混合内容问题,但也可能影响某些不支持 HTTPS 的服务的功能。因此,在设置协议要求时,平衡安全性与可用性至关重要。
配置示例
location /example {
html_sanitize_iframe_url_protocol https;
}⚠
确保列出你想允许的所有协议,任何被省略的都将被拒绝。
⚠
将此指令与 html_sanitize_iframe_url_domain 结合使用时,需要谨慎管理以避免冲突。