HTML-tools

Gratis HTML Sanitizer Config Builder

Bouw Sanitizer API- en DOMPurify-allowlist-configuraties voor veilige HTML-rendering.

Tool laden...

Wat is HTML Sanitizer Config Builder?

Een HTML-sanitizer verwijdert mogelijk gevaarlijke HTML-tags, attributen en inhoud uit door gebruikers ingediende tekenreeksen voordat ze op een pagina worden weergegeven. Dit voorkomt XSS (Cross-Site Scripting) aanvallen waarbij aanvallers kwaadaardige scripts injecteren via commentaarvelden, rich text editors of elk gebruikersinvoergebied. De browser Sanitizer API biedt native sanitisatie; DOMPurify is de meest gebruikte JavaScript-bibliotheek voor hetzelfde doel.

Snel antwoord

Bouw een HTML-sanitizer toelatingslijst om XSS te voorkomen bij het weergeven van door gebruikers ingediende HTML. Gebruik content-type presets (comments, blog, richtext) of pas toegestane tags en attributen aan. Uitvoerconfiguraties voor de native Sanitizer API, DOMPurify of beide. Blokkeer altijd scripttags, event handlers en javascript: URL's.

Last updated: 2026-05-28

Beperkingen

Geen sanitizer is perfect. Nieuwe aanvalsvectoren worden regelmatig ontdekt. Houd DOMPurify of uw sanitisatiestrategie up-to-date en abonneer u op beveiligingsadviezen.
De native Sanitizer API wordt niet ondersteund in Safari vanaf 2025. Gebruik voor cross-browser ondersteuning DOMPurify of implementeer een fallback-strategie.
Sanitisatie beschermt tegen XSS maar niet tegen phishing, content spoofing of lay-outbreuk. Aanvullende validatie en contentmoderatie kunnen nodig zijn voor door gebruikers ingediende content.

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

Zo gebruik je deze tool

Kies een content-type preset op basis van wat voor HTML u verwacht dat gebruikers indienen.
Bekijk en pas de toegestane tags en attributen aan voor uw specifieke gebruiksscenario.
Selecteer het uitvoerformaat - Sanitizer API, DOMPurify of beide.
Kopieer de configuratie en gebruik deze waar u door gebruikers ingediende HTML weergeeft.

Waarvoor je het kunt gebruiken

Configureer een HTML-sanitizer voor een blogcommentaarsectie die basisopmaak toestaat (vet, cursief, links) maar scripts en complexe markup blokkeert.
Bouw een sanitizer-configuratie voor een rich text CMS waar editors koppen, lijsten, tabellen en afbeeldingen kunnen gebruiken maar geen scripts of iframes kunnen insluiten.
Stel een DOMPurify-configuratie in voor een statische site die door gebruikers bijgedragen Markdown omgezet naar HTML weergeeft.

Gebruik

Praktische voorbeelden

Voorbeeld

Blogcommentaar sanitisatie

Een blog staat commentaar met basisopmaak toe. Gebruik de comments preset die b, i, a, code, em, strong en br tags toestaat. Scripts, afbeeldingen en complexe markup worden verwijderd. Dit voorkomt XSS terwijl commentaar leesbaar blijft.

Voorbeeld

CMS rich text editing

Een headless CMS staat rich text toe met koppen, lijsten, citaten, afbeeldingen en tabellen. Gebruik de blog of richtext preset om structurele HTML toe te staan terwijl script, iframe, object en embed tags worden geblokkeerd.

Veelgemaakte fouten

Script- of stijltags toestaan in de toelatingslijst - deze kunnen willekeurige code uitvoeren en het doel van sanitisatie tenietdoen.
Event handler-attributen zoals onclick of onerror toestaan - aanvallers kunnen JavaScript injecteren via event handlers, zelfs wanneer scripttags zijn geblokkeerd.
Aannemen dat sanitisatie HTML veilig maakt voor alle contexten - gesanitiseerde HTML kan nog steeds lay-outs breken, containers laten overlopen of phishing-links bevatten.

Verificatie

Test de sanitizer-configuratie met bekende XSS-payloads (zoals <img src=x onerror=alert(1)>) om te bevestigen dat ze worden verwijderd.
Gebruik browser DevTools om de gerenderde HTML te inspecteren en te bevestigen dat er geen onverwachte tags of attributen sanitisatie overleven.

FAQ

Vragen over HTML Sanitizer Config Builder

Moet ik de native Sanitizer API of DOMPurify gebruiken?

De Sanitizer API is ingebouwd in de browser en vereist geen externe bibliotheek, maar is nieuwer en wordt niet ondersteund in Safari (vanaf 2025). DOMPurify is een goed geteste, veelgebruikte bibliotheek die werkt in alle browsers. Gebruik voor productiesites DOMPurify voor brede compatibiliteit of gebruik Sanitizer API als progressive enhancement met een DOMPurify-fallback.

Welke tags en attributen moet ik altijd blokkeren?

Blokkeer altijd script, style, iframe, object, embed, applet, form, input en button tags. Blokkeer altijd event handler-attributen (onclick, onerror, onload, onmouseover, enz.), javascript: URL's in href/src-attributen en data: URL's die HTML of JavaScript kunnen bevatten.

Gerelateerde tools

Meer html-tools

Html

ARIA Live Region Generator

Genereer toegankelijke ARIA-live-regio's voor schermlezeraankondigingen.

Open tool

Html

CSP Hash Generator

Genereer CSP-hashwaarden voor inline scripts en styles. Hash exacte code met SHA-256, SHA-384 of SHA-512.

Open tool

Html

Customizable Select Generator

Generate CSS for customizable select elements using appearance: base-select, picker icons, checkmarks, and open/closed state styling.

Open tool

Probeer ook

Seo

AI-crawler robots.txt Builder

Bouw robots.txt-regels voor AI-crawlers met open, selectieve of strikte presets.

Open tool

Seo

Hreflang Sitemap Builder

Bouw XML-sitemap-items met hreflang-alternates voor meertalige pagina's.

Open tool

Seo

Hreflang-taggenerator

Genereer schone hreflang-tags voor meertalige statische websites.

Open tool