我使用DOMPurify与Node.js。
此处的代码
import { JSDOM } from 'jsdom';
import DOMPurify from 'dompurify';
const window = new JSDOM('').window;
const purify = DOMPurify(window);
const clean = purify.sanitize('<b>hello there</b>');
console.log(DOMPurify.isSupported) // -> false
console.log(purify.isSupported) // -> true
我猜purify.isSupported是我应该检查的值,因为我使用这样的节点。我可以忽略DOMPurify.isSupported吗?
我假设DOMPurify。isSupported并不重要,因为我使用purify来消毒。对吗?
叫我偏执狂,只是想避免XSS。
在源代码中,您可以看到DOMPurify.isSupported始终为false
if (!window || !window.document || window.document.nodeType !== 9) {
// Not running in a browser, provide a factory function
// so that you can pass your own Window
DOMPurify.isSupported = false;
return DOMPurify;
}