@hapi/disinfect - Javascript

简介

@hapi/disinfect是一个Javascript库，用于将用户输入的数据进行清理和消毒。它可以帮助开发者防范常见的注入攻击，包括跨站脚本（XSS）、SQL注入、HTTP头注入和命令注入等等。

特性

• 提供一系列内置的消毒和清理规则，可以根据需要灵活配置。
• 支持在不同的上下文中进行消毒，如HTML文本、URL、JSON、Query字符串等等。
• 可以使用自定义规则进行消毒。

使用方法

安装

使用npm进行安装：

npm i @hapi/disinfect

示例

HTML文本消毒

const Disinfect = require('@hapi/disinfect');

const inputData = '<script>alert("xss");</script>';
const options = {
  allowComments: false,
  allowedTags: [],
  allowedAttributes: {}
};

const disinfectedData = Disinfect.html(inputData, options);
console.log(disinfectedData); // 输出为: ''

URL消毒

const Disinfect = require('@hapi/disinfect');

const inputData = 'http://www.example.com/?name=<script>alert("xss");</script>';
const options = {
  encode: true
};

const disinfectedUrl = Disinfect.query(inputData, options);
console.log(disinfectedUrl); // 输出为: 'http://www.example.com/?name=%3Cscript%3Ealert(%22xss%22)%3B%3C/script%3E'

JSON消毒

const Disinfect = require('@hapi/disinfect');

const inputData = {
  name: '<script>alert("xss");</script>'
};
const options = {
  strict: true,
  entities: false
};

const disinfectedJSON = Disinfect.json(inputData, options);
console.log(disinfectedJSON); // 输出为: '{"name":""}'

文档

详细的API文档可以在官方文档中查看。

社区支持

如果你遇到了任何问题，可以到官方GitHub提交issue，或者加入Slack进行讨论。