Herramientas HTML

Gratis Generador de config Sanitizer HTML

Crea configuraciones de lista permitida para Sanitizer API y DOMPurify para renderizado HTML seguro.

Cargando herramienta...

Qué es Generador de config Sanitizer HTML?

Un sanitizador HTML elimina etiquetas, atributos y contenido HTML potencialmente peligrosos de cadenas enviadas por el usuario antes de renderizarlos en una página. Esto previene ataques XSS (Cross-Site Scripting) donde los atacantes inyectan scripts maliciosos a través de campos de comentarios, editores de texto enriquecido o cualquier área de entrada de usuario. La API Sanitizer del navegador proporciona sanitización nativa; DOMPurify es la biblioteca JavaScript más utilizada para el mismo propósito.

Respuesta rápida

Construya una lista blanca de sanitizador HTML para prevenir XSS al renderizar HTML enviado por el usuario. Use presets por tipo de contenido (comments, blog, richtext) o personalice las etiquetas y atributos permitidos. Genere configuraciones para la API Sanitizer nativa, DOMPurify o ambos. Siempre bloquee etiquetas script, manejadores de eventos y URL javascript:.

Last updated: 2026-05-28

Limitaciones

Ningún sanitizador es perfecto. Se descubren nuevos vectores de ataque regularmente. Mantenga DOMPurify o su estrategia de sanitización actualizada y suscríbase a avisos de seguridad.
La API Sanitizer nativa no es compatible con Safari a partir de 2025. Para compatibilidad entre navegadores, use DOMPurify o implemente una estrategia de fallback.
La sanitización protege contra XSS pero no contra phishing, suplantación de contenido o rotura de diseño. Pueden ser necesarias validación adicional y moderación de contenido para el contenido enviado por el usuario.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Cómo usar esta herramienta

Elija un preset de tipo de contenido según el tipo de HTML que espera que los usuarios envíen.
Revise y personalice las etiquetas y atributos permitidos para su caso de uso específico.
Seleccione el formato de salida — Sanitizer API, DOMPurify o ambos.
Copie la configuración y úsela donde sea que renderice HTML enviado por el usuario.

Para qué puedes usarla

Configurar un sanitizador HTML para una sección de comentarios de blog que permita formato básico (negrita, cursiva, enlaces) pero bloquee scripts y marcado complejo.
Construir una configuración de sanitizador para un CMS de texto enriquecido donde los editores pueden usar encabezados, listas, tablas e imágenes pero no incrustar scripts o iframes.
Configurar DOMPurify para un sitio estático que renderice Markdown contribuido por usuarios convertido a HTML.

Casos de uso

Ejemplos prácticos

Ejemplo

Sanitización de comentarios de blog

Un blog permite comentarios con formato básico. Use el preset comments que permite las etiquetas b, i, a, code, em, strong y br. Los scripts, imágenes y marcado complejo se eliminan. Esto previene XSS mientras mantiene los comentarios legibles.

Ejemplo

Edición de texto enriquecido en CMS

Un CMS sin cabeza permite texto enriquecido con encabezados, listas, blockquotes, imágenes y tablas. Use el preset blog o richtext para permitir HTML estructural mientras bloquea las etiquetas script, iframe, object y embed.

Errores comunes

Permitir etiquetas script o style en la lista blanca — estas pueden ejecutar código arbitrario y anular el propósito de la sanitización.
Permitir atributos de manejadores de eventos como onclick o onerror — los atacantes pueden inyectar JavaScript a través de manejadores de eventos incluso cuando las etiquetas script están bloqueadas.
Asumir que la sanitización hace que el HTML sea seguro para todos los contextos — el HTML sanitizado aún puede romper diseños, desbordar contenedores o contener enlaces de phishing.

Verificación

Pruebe la configuración del sanitizador con payloads XSS conocidos (como <img src=x onerror=alert(1)>) para confirmar que se eliminan.
Use las herramientas de desarrollo del navegador para inspeccionar el HTML renderizado y confirmar que no sobrevivan etiquetas o atributos inesperados a la sanitización.

FAQ

Preguntas sobre Generador de config Sanitizer HTML

Debería usar la API Sanitizer nativa o DOMPurify?

La API Sanitizer está integrada en el navegador y no requiere bibliotecas externas, pero es más nueva y no es compatible con Safari (a partir de 2025). DOMPurify es una biblioteca bien probada y ampliamente utilizada que funciona en todos los navegadores. Para sitios de producción, use DOMPurify para una amplia compatibilidad o use Sanitizer API como mejora progresiva con un fallback de DOMPurify.

Qué etiquetas y atributos debería bloquear siempre?

Siempre bloquee las etiquetas script, style, iframe, object, embed, applet, form, input y button. Siempre bloquee los atributos de manejadores de eventos (onclick, onerror, onload, onmouseover, etc.), las URL javascript: en atributos href/src y las URL data: que podrían contener HTML o JavaScript.

Herramientas relacionadas

Más herramientas html

Html

Generador de regiones ARIA live

Crea regiones ARIA live accesibles para anuncios de lectores de pantalla.

Abrir herramienta

Html

Generador de hash CSP

Genera valores hash CSP para scripts y estilos inline. Hashea el código exacto con SHA-256, SHA-384 o SHA-512.

Abrir herramienta

Html

Customizable Select Generator

Generate CSS for customizable select elements using appearance: base-select, picker icons, checkmarks, and open/closed state styling.

Abrir herramienta

Prueba también

Seo

Generador robots.txt para crawlers IA

Crea reglas robots.txt para crawlers de IA con plantillas abiertas, selectivas o estrictas.

Abrir herramienta

Seo

Generador de sitemap hreflang

Crea entradas de sitemap XML con alternativas hreflang para páginas multilingües.

Abrir herramienta

Seo

Generador de etiquetas hreflang

Genera etiquetas hreflang limpias para sitios estáticos multilingües.

Abrir herramienta