O objetivo da nova API Sanitizer é criar um processador robusto para que strings arbitrárias sejam inseridas com segurança em uma página.
Os aplicativos lidam com strings não confiáveis o tempo todo, mas renderizar esse conteúdo com segurança como parte de um documento HTML pode ser complicado. Sem cuidado suficiente, é fácil criar acidentalmente oportunidades para scripts em vários sites (XSS, na sigla em inglês) que invasores maliciosos podem explorar.
Para reduzir esse risco, a nova proposta da API Sanitizer tem como objetivo criar um processador robusto para que strings arbitrárias sejam inseridas com segurança em uma página. Este artigo apresenta a API e explica como usá-la.
// Expanded Safely !!
$div.setHTML(`<em>hello world</em><img src="" onerror=alert(0)>`, new Sanitizer())
Como escapar da entrada do usuário
Ao inserir entradas do usuário, strings de consulta, conteúdo de cookies e assim por diante no DOM, as strings precisam ser escapadas corretamente. É necessário prestar atenção especial à manipulação do DOM por meio de .innerHTML
, em que as strings não escapadas são uma fonte típica de XSS.
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
$div.innerHTML = user_input
Se você escapar de caracteres especiais HTML na string de entrada acima ou a expandir usando .textContent
, alert(0)
não será executado. No entanto, como o <em>
adicionado pelo usuário também é expandido como uma string, esse método não pode ser usado para manter a decoração de texto em HTML.
A melhor coisa a fazer aqui não é escapar, mas limpar.
Sanitização de entrada do usuário
A diferença entre escape e sanitização
O escape se refere à substituição de caracteres HTML especiais por Entidades HTML.
A desinfecção se refere à remoção de partes semanticamente nocivas (como a execução de scripts) das strings HTML.
Exemplo
No exemplo anterior, <img onerror>
faz com que o manipulador de erros seja executado, mas se o manipulador onerror
for removido, será possível expandi-lo com segurança no DOM, deixando <em>
intacto.
// XSS 🧨
$div.innerHTML = `<em>hello world</em><img src="" onerror=alert(0)>`
// Sanitized ⛑
$div.innerHTML = `<em>hello world</em><img src="">`
Para fazer a sanitização corretamente, é necessário analisar a string de entrada como HTML, omitir tags e atributos considerados nocivos e manter os inofensivos.
A especificação proposta da API Sanitizer tem como objetivo fornecer esse processamento como uma API padrão para navegadores.
API Sanitizer
A API Sanitizer é usada da seguinte maneira:
const $div = document.querySelector('div')
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
$div.setHTML(user_input, { sanitizer: new Sanitizer() }) // <div><em>hello world</em><img src=""></div>
No entanto, { sanitizer: new Sanitizer() }
é o argumento padrão. Pode ser como abaixo.
$div.setHTML(user_input) // <div><em>hello world</em><img src=""></div>
Vale ressaltar que setHTML()
é definido em Element
. Por ser um método de Element
, o contexto a ser analisado é autoexplicativo (<div>
, neste caso). A análise é feita uma vez internamente, e o resultado é expandido diretamente no DOM.
Para receber o resultado da limpeza como uma string, use .innerHTML
nos resultados de setHTML()
.
const $div = document.createElement('div')
$div.setHTML(user_input)
$div.innerHTML // <em>hello world</em><img src="">
Personalizar pela configuração
A API Sanitizer é configurada por padrão para remover strings que acionam a execução do script. No entanto, você também pode adicionar suas próprias personalizações ao processo de limpeza usando um objeto de configuração.
const config = {
allowElements: [],
blockElements: [],
dropElements: [],
allowAttributes: {},
dropAttributes: {},
allowCustomElements: true,
allowComments: true
};
// sanitized result is customized by configuration
new Sanitizer(config)
As opções a seguir especificam como o resultado da limpeza vai tratar o elemento especificado.
allowElements
: nomes dos elementos que o limpador precisa reter.
blockElements
: nomes dos elementos que o limpador precisa remover, mantendo os filhos.
dropElements
: nomes dos elementos que o limpador precisa remover, junto com os filhos.
const str = `hello <b><i>world</i></b>`
$div.setHTML(str)
// <div>hello <b><i>world</i></b></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowElements: [ "b" ]}) })
// <div>hello <b>world</b></div>
$div.setHTML(str, { sanitizer: new Sanitizer({blockElements: [ "b" ]}) })
// <div>hello <i>world</i></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowElements: []}) })
// <div>hello world</div>
Também é possível controlar se o limpador vai permitir ou negar atributos especificados com as seguintes opções:
allowAttributes
dropAttributes
As propriedades allowAttributes
e dropAttributes
esperam listas de correspondência de atributos: objetos com chaves que são nomes de atributos e valores que são listas de elementos de destino ou o curinga *
.
const str = `<span id=foo class=bar style="color: red">hello</span>`
$div.setHTML(str)
// <div><span id="foo" class="bar" style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["span"]}}) })
// <div><span style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["p"]}}) })
// <div><span>hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {"style": ["*"]}}) })
// <div><span style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({dropAttributes: {"id": ["span"]}}) })
// <div><span class="bar" style="color: red">hello</span></div>
$div.setHTML(str, { sanitizer: new Sanitizer({allowAttributes: {}}) })
// <div>hello</div>
allowCustomElements
é a opção para permitir ou negar elementos personalizados. Se forem permitidos, outras configurações de elementos e atributos ainda serão aplicadas.
const str = `<custom-elem>hello</custom-elem>`
$div.setHTML(str)
// <div></div>
const sanitizer = new Sanitizer({
allowCustomElements: true,
allowElements: ["div", "custom-elem"]
})
$div.setHTML(str, { sanitizer })
// <div><custom-elem>hello</custom-elem></div>
Superfície da API
Comparação com o DomPurify
DOMPurify é uma biblioteca conhecida que oferece funcionalidade de limpeza. A principal diferença entre a API Sanitizer e o DOMPurify é que o DOMPurify retorna o resultado da sanitização como uma string, que precisa ser gravada em um elemento DOM por meio de .innerHTML
.
const user_input = `<em>hello world</em><img src="" onerror=alert(0)>`
const sanitized = DOMPurify.sanitize(user_input)
$div.innerHTML = sanitized
// `<em>hello world</em><img src="">`
O DOMPurify pode servir como substituto quando a API Sanitizer não está implementada no navegador.
A implementação do DOMPurify tem algumas desvantagens. Se uma string for retornada, a string de entrada será analisada duas vezes, pelo DOMPurify e pelo .innerHTML
. Essa dupla análise detalhada desperdiça tempo de processamento, mas também pode levar a vulnerabilidades interessantes causadas por casos em que o resultado da segunda análise é diferente do primeiro.
O HTML também precisa de contexto para ser analisado. Por exemplo, <td>
faz sentido em <table>
, mas não em <div>
. Como DOMPurify.sanitize()
usa apenas uma string como argumento, o contexto de análise precisa ser adivinhado.
A API Sanitizer melhora a abordagem do DOMPurify e foi projetada para eliminar a necessidade de análise dupla e esclarecer o contexto de análise.
Status da API e suporte a navegadores
A API Sanitizer está em discussão no processo de padronização, e o Chrome está em processo de implementação.
Etapa | Status |
---|---|
1. Criar uma explicação | Concluído |
2. Criar rascunho de especificação | Concluído |
3. Coletar feedback e iterar o design | Concluído |
4. Teste de origem do Chrome | Concluído |
5. Lançamento | Intent to Ship na M105 |
Mozilla: considera que esta proposta vale a pena ser prototipada e está implementando-a ativamente.
WebKit: confira a resposta na lista de e-mails do WebKit.
Como ativar a API Sanitizer
Ativar pela opção about://flags
ou CLI
Chrome
O Chrome está em processo de implementação da API Sanitizer. No Chrome 93 ou mais recente, é possível testar o comportamento ativando a flag about://flags/#enable-experimental-web-platform-features
. Nas versões anteriores do Chrome Canary e do Canal de Desenvolvedor, é possível ativar esse recurso usando --enable-blink-features=SanitizerAPI
e testá-lo agora mesmo. Confira as instruções sobre como executar o Chrome com flags.
Firefox
O Firefox também implementa a API Sanitizer como um recurso experimental. Para ativar, defina a flag dom.security.sanitizer.enabled
como true
em about:config
.
Detecção de recursos
if (window.Sanitizer) {
// Sanitizer API is enabled
}
Feedback
Se você testar essa API e tiver algum feedback, adoraríamos receber seu comentário. Compartilhe sua opinião sobre os problemas da API Sanitizer no GitHub e discuta com os autores da especificação e as pessoas interessadas nessa API.
Se você encontrar bugs ou comportamentos inesperados na implementação do Chrome, registre um bug para informar o problema. Selecione os componentes Blink>SecurityFeature>SanitizerAPI
e compartilhe detalhes para ajudar os implementadores a rastrear o problema.
Demonstração
Para conferir a API Sanitizer em ação, confira o Sanitizer API Playground do Mike West:
Referências
- Especificação da API HTML Sanitizer
- Repositório WICG/sanitizer-api (link em inglês)
- Perguntas frequentes sobre a API Sanitizer
- Documentação de referência da API HTML Sanitizer no MDN
Foto de Towfiqu barbhuiya no Unsplash.