HTML sanitization là gì?

HTML sanitization là quá trình kiểm tra một tài liệu HTML (HTML document) và tạo ra một tài liệu HTML mới chỉ lưu giữ bất kỳ thẻ (tag) nào được chỉ định là "an toàn" và mong muốn. HTML sanitization có thể được sử dụng để bảo vệ khỏi các cuộc tấn công chẳng hạn như cross-site scripting (XSS) bằng cách khử trùng (sanitize) bất kỳ mã HTML nào do người dùng gửi.

Các thẻ cơ bản để thay đổi phông chữ thường được cho phép, chẳng hạn như <b>, <i>, <u>, <em> và <strong> trong khi các thẻ nâng cao hơn như <script>, <object>, <embed> và <link> bị xóa bởi quá trình HTML sanitization. Ngoài ra, các thuộc tính (attribute) nguy hiểm tiềm ẩn như thuộc tính onclick cũng bị loại bỏ để ngăn không cho mã độc (malicious code) xâm nhập. HTML sanitization thường được thực hiện bằng cách sử dụng phương pháp tiếp cận danh sách trắng (whitelist) hoặc danh sách đen (blacklist).