单纯一份JS，如何设置css 为false？ #248

AceChen1 · 2021-11-29T06:26:26Z

如果是es5/6 可以直接这样调用：
myxss = new xss.FilterXSS({
css: false,
});

但是如果只是单纯的js, 如何在filterXSS 里设置css 为false ？
var html = filterXSS('<script>alert("xss");</scr' + "ipt>");

Huanxin1997 · 2021-11-29T06:43:49Z

我们尝试只保留 this.cssFilter = false; , 行间样式仍被去除。
有没有相关配置能够保留行间样式呢？

leizongmin · 2021-12-05T02:44:16Z

@AceChen1 @Huanxin1997 默认的白名单里面不包含 style 属性，只要自定义白名单的时候给标签加上 style 属性即可。而 cssFilter 是用于控制在允许 style 的情况下，是否要做进一步的样式过滤。

Provide feedback