Outils HTML

Gratuit Générateur de config Sanitizer HTML

Créez des configurations d'allowlist pour Sanitizer API et DOMPurify pour un rendu HTML sécurisé.

Chargement de l'outil...

Qu'est-ce que Générateur de config Sanitizer HTML ?

Un sanitizer HTML supprime les balises, attributs et contenus HTML potentiellement dangereux des chaines soumises par l'utilisateur avant de les afficher sur une page. Cela empeche les attaques XSS (Cross-Site Scripting) où des attaquants injectent des scripts malveillants via des champs de commentaires, des editeurs de texte riche ou toute zone de saisie utilisateur. L'API Sanitizer du navigateur fournit une sanitization native ; DOMPurify est la bibliotheque JavaScript la plus utilisee pour le meme objectif.

Réponse rapide

Construisez une liste blanche de sanitizer HTML pour prevenir les XSS lors du rendu de HTML soumis par l'utilisateur. Utilisez des presets par type de contenu (commentaires, blog, texte riche) ou personnalisez les balises et attributs autorises. Bloquez toujours les balises script, les gestionnaires d'evenements et les URLs javascript:.

Last updated: 2026-05-28

Limites

Aucun sanitizer n'est parfait. De nouveaux vecteurs d'attaque sont decouverts regulierement.
L'API Sanitizer native n'est pas supportee dans Safari. Pour un support cross-navigateur, utilisez DOMPurify.
La sanitization protege contre les XSS mais pas contre le phishing, l'usurpation de contenu ou les casses de mise en page.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Comment utiliser cet outil

Choisissez un preset de type de contenu en fonction du type de HTML attendu de la part des utilisateurs.
Revisez et personnalisez les balises et attributs autorises pour votre cas d'utilisation specifique.
Selectionnez le format de sortie - Sanitizer API, DOMPurify ou les deux.
Copiez la configuration et utilisez-la partout où vous affichez du HTML soumis par l'utilisateur.

A quoi il sert

Configurer un sanitizer HTML pour une section de commentaires de blog qui autorise le formatage de base mais bloque les scripts.
Construire une configuration de sanitizer pour un CMS texte riche où les editeurs peuvent utiliser des titres, listes, tableaux et images mais pas de scripts.
Mettre en place une configuration DOMPurify pour un site statique qui affiche du Markdown converti en HTML.

Cas d'usage

Exemples concrets

Exemple

Sanitization de commentaires de blog

Un blog permet les commentaires avec formatage de base. Utilisez le preset commentaires qui autorise les balises b, i, a, code, em, strong et br. Les scripts, images et balisage complexe sont supprimes.

Exemple

Edition de texte CMS

Un CMS headless permet le texte riche avec titres, listes, citations, images et tableaux. Utilisez le preset blog ou texte riche pour autoriser le HTML structurel tout en bloquant script, iframe, object et embed.

Erreurs frequentes

Autoriser les balises script ou style dans la liste blanche - elles peuvent executer du code arbitraire.
Autoriser les attributs de gestionnaires d'evenements comme onclick ou onerror - les attaquants peuvent injecter du JavaScript via les gestionnaires d'evenements.
Presupposer que la sanitization rend le HTML sur pour tous les contextes - le HTML sanitisé peut encore casser les mises en page.

Vérification

Testez la configuration du sanitizer avec des charges utiles XSS connues pour confirmer qu'elles sont supprimees.
Utilisez les outils de developpement pour inspecter le HTML rendu et confirmer qu'aucune balise ou attribut inattendu ne survit a la sanitization.

FAQ

Questions sur Générateur de config Sanitizer HTML

Dois-je utiliser l'API Sanitizer native ou DOMPurify ?

L'API Sanitizer est integree au navigateur et ne nécessite pas de bibliotheque externe, mais elle est plus recente et non supportee dans Safari. DOMPurify est une bibliotheque bien testee qui fonctionne dans tous les navigateurs.

Quelles balises et attributs dois-je toujours bloquer ?

Bloquez toujours script, style, iframe, object, embed, applet, form, input et button. Bloquez toujours les attributs de gestionnaires d'evenements, les URLs javascript: dans href/src et les URLs data:.

Outils lies

Autres outils outils html

Html

Générateur de régions ARIA live

Créez des régions ARIA live accessibles pour les annonces des lecteurs d'écran.

Ouvrir l'outil

Html

Générateur de hash CSP

Générez des valeurs de hash CSP pour les scripts et styles inline. Hachez le code exact avec SHA-256, SHA-384 ou SHA-512.

Ouvrir l'outil

Html

Customizable Select Generator

Generate CSS for customizable select elements using appearance: base-select, picker icons, checkmarks, and open/closed state styling.

Ouvrir l'outil

A essayer aussi

Seo

Générateur robots.txt pour crawlers IA

Créez des règles robots.txt pour les crawlers IA avec des modèles ouverts, sélectifs ou stricts.

Ouvrir l'outil

Seo

Générateur de sitemap hreflang

Créez des entrées de sitemap XML avec des alternatives hreflang pour les pages multilingues.

Ouvrir l'outil

Seo

Generateur de balises hreflang

Générez des balises hreflang propres pour sites statiques multilingües.

Ouvrir l'outil