HTML-Tools

Kostenlose HTML Sanitizer Config Builder

Erstelle Sanitizer-API- und DOMPurify-Allowlist-Konfigurationen für sicheres HTML-Rendering.

Tool wird geladen...

Was ist HTML Sanitizer Config Builder?

Ein HTML-Sanitizer entfernt potenziell gefährliche HTML-Tags, Attribute und Inhalte aus benutzereingegebenen Zeichenketten, bevor sie auf einer Seite gerendert werden. Dies verhindert XSS-Angriffe (Cross-Site Scripting), bei denen Angreifer bösartige Skripte durch Kommentarfelder, Rich-Text-Editoren oder andere Benutzereingabebereiche einschleusen. Die browser native Sanitizer API bietet eine integrierte Bereinigung; DOMPurify ist die am weitesten verbreitete JavaScript-Bibliothek für denselben Zweck.

Kurze Antwort

Erstellen Sie eine HTML-Sanitizer-Zulassungsliste, um XSS beim Rendern von benutzereingegebenem HTML zu verhindern. Verwenden Sie Inhaltsvoreinstellungen (Kommentare, Blog, Rich Text) oder passen Sie erlaubte Tags und Attribute an. Ausgabe-Konfigurationen für die native Sanitizer API, DOMPurify oder beide. Blockieren Sie immer Script-Tags, Event-Handler und javascript:-URLs.

Last updated: 2026-05-28

Einschränkungen

Kein Sanitizer ist perfekt. Neue Angriffsvektoren werden regelmässig entdeckt. Halten Sie DOMPurify oder Ihre Bereinigungsstrategie auf dem neuesten Stand und abonnieren Sie Sicherheitshinweise.
Die native Sanitizer API wird in Safari (Stand 2025) nicht unterstützt. Verwenden Sie für browserübergreifende Unterstützung DOMPurify oder implementieren Sie eine Fallback-Strategie.
Bereinigung schützt vor XSS, aber nicht vor Phishing, Inhaltsfälschung oder Layout-Zerstörung. Zusätzliche Validierung und Inhaltsmoderation können für benutzereingegebene Inhalte erforderlich sein.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

So nutzt du dieses Tool

Wählen Sie eine Inhaltsvoreinstellung basierend auf der Art von HTML, die Benutzer voraussichtlich einsenden werden.
Überprüfen und passen Sie die erlaubten Tags und Attribute für Ihren spezifischen Anwendungsfall an.
Wählen Sie das Ausgabeformat —Sanitizer API, DOMPurify oder beide.
Kopieren Sie die Konfiguration und verwenden Sie sie überall dort, wo Sie benutzereingegebenes HTML rendern.

Wofür du es nutzen kannst

Einen HTML-Sanitizer für einen Blog-Kommentarbereich konfigurieren, der grundlegende Formatierung (fett, kursiv, Links) erlaubt, aber Skripte und komplexes Markup blockiert.
Eine Sanitizer-Konfiguration für ein Rich-Text-CMS erstellen, in dem Redakteure Überschriften, Listen, Tabellen und Bilder verwenden, aber keine Skripte oder Iframes einbetten können.
Eine DOMPurify-Konfiguration für eine statische Seite einrichten, die von Benutzern beigetragenes Markdown rendert, das in HTML konvertiert wurde.

Anwendungsfalle

Praxisbeispiele

Beispiel

Blog-Kommentar-Bereinigung

Ein Blog erlaubt Kommentare mit grundlegender Formatierung. Verwenden Sie die Kommentar-Voreinstellung, die b, i, a, code, em, strong und br-Tags erlaubt. Skripte, Bilder und komplexes Markup werden entfernt. Dies verhindert XSS, während Kommentare lesbar bleiben.

Beispiel

CMS Rich-Text-Bearbeitung

Ein Headless-CMS erlaubt Rich Text mit Überschriften, Listen, Blockzitaten, Bildern und Tabellen. Verwenden Sie die Blog- oder Rich-Text-Voreinstellung, um strukturelles HTML zu erlauben, während script-, iframe-, object- und embed-Tags blockiert werden.

Haufige Fehler

script- oder style-Tags in der Zulassungsliste erlauben —diese können beliebigen Code ausführen und den Zweck der Bereinigung zunichte machen.
Event-Handler-Attribute wie onclick oder onerror erlauben —Angreifer können JavaScript über Event-Handler einschleusen, selbst wenn Script-Tags blockiert sind.
Annehmen, dass Bereinigung HTML für alle Kontexte sicher macht —bereinigtes HTML kann immer noch Layouts zerstören, Container überlaufen lassen oder Phishing-Links enthalten.

Überprüfung

Testen Sie die Sanitizer-Konfiguration mit bekannten XSS-Payloads (wie <img src=x onerror=alert(1)>) um zu bestätigen, dass sie entfernt werden.
Verwenden Sie die Browser-DevTools, um das gerenderte HTML zu inspizieren und zu bestätigen, dass keine unerwarteten Tags oder Attribute die Bereinigung überleben.

FAQ

Fragen zu HTML Sanitizer Config Builder

Sollte ich die native Sanitizer API oder DOMPurify verwenden?

Die Sanitizer API ist in den Browser integriert und erfordert keine externe Bibliothek, ist aber neuer und wird in Safari nicht unterstützt (Stand 2025). DOMPurify ist eine gut getestete, weit verbreitete Bibliothek, die in allen Browsern funktioniert. Für Produktionsseiten verwenden Sie DOMPurify für breite Kompatibilität oder die Sanitizer API als progressive Verbesserung mit einem DOMPurify-Fallback.

Welche Tags und Attribute sollte ich immer blockieren?

Blockieren Sie immer script, style, iframe, object, embed, applet, form, input und button-Tags. Blockieren Sie immer Event-Handler-Attribute (onclick, onerror, onload, onmouseover usw.), javascript:-URLs in href/src-Attributen und data:-URLs, die HTML oder JavaScript enthalten könnten.

Verwandte Tools

Weitere html-tools

Html

ARIA Live Region Generator

Erstelle barrierefreie ARIA-Live-Regionen für Screenreader-Ankündigungen.

Tool öffnen

Html

CSP Hash Generator

Erstelle CSP-Hash-Werte für Inline-Skripte und -Styles. Hashe exakten Code mit SHA-256, SHA-384 oder SHA-512.

Tool öffnen

Html

Customizable Select Generator

Generate CSS for customizable select elements using appearance: base-select, picker icons, checkmarks, and open/closed state styling.

Tool öffnen

Auch ausprobieren

Seo

AI-Crawler robots.txt Builder

Erstelle robots.txt-Regeln für KI-Crawler mit offenen, selektiven oder strikten Vorlagen.

Tool öffnen

Seo

Hreflang Sitemap Builder

Erstelle XML-Sitemap-Einträge mit hreflang-Alternates für mehrsprachige Seiten.

Tool öffnen

Seo

Hreflang-Tag-Generator

Erzeuge saubere hreflang-Tags für mehrsprachige statische Websites.

Tool öffnen