html_sanitize_url_domain
`html_sanitize_url_domain` 指令用于指定已清理 HTML 内容中 URL 的白名单域名。
NGINX module to sanitize HTML 5 with whitelisted elements, attributes and CSS
·
location
语法html_sanitize_url_domain domain1 domain2 ...;
默认值none
上下文location
参数1+
说明
html_sanitize_url_domain 指令用于在清理 HTML 内容时,仅允许诸如锚点和图像等元素中出现的 URL 属于某些域名。该指令接受一个或多个域名作为参数,这些域名会被加入白名单。在处理 HTML 内容时,任何不匹配指定域名的 URL 都会被删除或替换,以防止诸如 XSS(跨站脚本攻击)等潜在的安全威胁。\n\n每个指定的域名可以包含通配符模式,从而在匹配子域名时提供灵活性。例如,指定 'example.com' 将允许 'example.com' 以及像 'sub.example.com' 这样的子域名。该功能对于在 Web 应用中维护用户生成或外部内容的完整性同时确保安全的浏览体验至关重要。此外,它通常与处理元素和属性的其他指令配合使用,从而实现全面的内容清理。
配置示例
location / {
html_sanitize_url_domain example.com example.org;
html_sanitize on;
}⚠
记得在必要时包含协议(http or https),因为此指令仅过滤域名,而不是完整的 URL。
⚠
请确保将所有需要的子域名添加到白名单,未包含必要域名可能会导致已清理内容中的链接断裂。
⚠
多个域名应以空格分隔,域名中前导或尾随的空格可能会导致问题。