HTML-парсер для безопасного HTML-кода?

Question

Прежде чем я потрачу время, пытаясь изобретать велосипед. Мое веб-приложение получает входящие письма от пользователей. Чаще всего они принимаются в кодировке HTML. Мне нужно иметь возможность отображать их для пользователей в несколько дружественном формате.

Есть ли что-нибудь, что существует, что будет делать большую часть работы? Я искал пакет, который я просто передал в своем сыром HTML-письме, и он будет разбит и отформатирован для отображения.

Короткого ничего уже там, в частности, я мог бы использовать что-то вырезать тег: https://github.com/punkave/sanitize-html

Я предпочел бы не использовать плавающие фреймы, а просто добавить его в DOM внутри сОн заполнителя. Мои опасения:

• Strip все JS в сообщении
• Удалите все теги, которые могут содержать внешнюю ссылку
• Убрать все CSS

Разрешенные теги будет довольно простой: р, b, i, strong, br; например, материал, чтобы он выглядел как сообщение, а не куча трудночитаемого текста.

Что вы сделали для этого в прошлом?

Answer 1

Надеюсь, это сэкономит кому-то еще какое-то время, что оказывает подобную проблему:

На стороне пользователя, внутри DIV, где вы хотите, чтобы показать сообщение электронной почты:

<iframe src="/view/message/{message_id}" sandbox></iframe> 

Функция Iframe маршрут просто отображает HTML, затем я использовал библиотеку github: https://github.com/mganss/HtmlSanitizer, чтобы удалить все теги CSS и большинство тегов HTML. Я оставил основные теги форматирования P; BR; Б. Я также лишил все javascript.