Package Health Score

85 / 100

security
No known security issues
popularity
Key ecosystem project
maintenance
Healthy
community
Sustainable

Explore Similar Packages

Security

No known security issues

All security vulnerabilities belong to production dependencies of direct and indirect packages.

Security and license risk for significant versions

Version				Vulnerabilities	License Risk
1.0.15	\|	03/2024		0 C 0 H 0 M 0 L	0 H 0 M 0 L
1.0.14	\|	08/2022	Popular	0 C 0 H 0 M 0 L	0 H 0 M 0 L
0.3.8	\|	04/2018		0 C 1 H 0 M 0 L	0 H 0 M 0 L
0.2.18	\|	11/2016		0 C 1 H 0 M 0 L	0 H 0 M 0 L
0.1.21	\|	03/2015		0 C 1 H 0 M 0 L	0 H 0 M 0 L

License

MIT

Security Policy

Yes

Is your project affected by vulnerabilities?

Scan your projects for vulnerabilities. Fix quickly with automated fixes. Get started with Snyk for free.

Get started free

Popularity

Key ecosystem project

Weekly Downloads (2,306,693)

GitHub Stars: 5.09K
Forks: 630
Contributors: 40

Direct Usage Popularity

The npm package xss receives a total of 2,306,693 downloads a week. As such, we scored xss popularity level to be Key ecosystem project.

Based on project statistics from the GitHub repository for the npm package xss, we found that it has been starred 5,089 times.

Downloads are calculated as moving averages for a period of the last 12 months, excluding weekends and known missing data points.

Community

Sustainable

Readme.md: Yes
Contributing.md: No
Code of Conduct: No
Contributors: 40
Funding: Yes

With more than 10 contributors for the xss repository, this is possibly a sign for a growing and inviting community.

We found a way for you to contribute to the project! Looks like xss is missing a Code of Conduct.

Embed Package Health Score Badge

Maintenance

Healthy

Commit Frequency

Open Issues: 64
Open PR: 1
Last Release: 1 month ago
Last Commit: 1 month ago

Further analysis of the maintenance status of xss based on released npm versions cadence, the repository activity, and other data points determined that its maintenance is Healthy.

We found that xss demonstrates a positive version release cadence with at least one new version released in the past 3 months.

In the past month we didn't find any pull request activity or change in issues status has been detected for the GitHub repository.

Keep your project healthy

Check your package.json

Ensure all the packages you're using are healthy and well-maintained

Snyk Vulnerability Scanner

Get health score & security insights directly in your IDE

Package

Node.js Compatibility: >= 0.10.0

Age: 12 years
Dependencies: 2 Direct
Versions: 74
Install Size: 145 kB
Dist-tags: 1
# of Files: 15
Maintainers: 1
TS Typings: Yes

xss has more than a single and default latest tag published for the npm package. This means, there may be other tags available for this package, such as next to indicate future releases, or stable to indicate stable releases.

Not sure how to use xss?

To help you get started, we've collected the most common ways that xss is being used within popular public projects.

cnodejs / nodeclub / common / render_helper.js View on Github

language     = validator.escape(language);

  return '<pre class="prettyprint ' + language + '">'
    + '<code>' + validator.escape(token.content) + '</code>'
    + '</pre>';
};

md.renderer.rules.code_block = function (tokens, idx /*, options*/) {
  var token    = tokens[idx];

  return '<pre class="prettyprint">'
    + '<code>' + validator.escape(token.content) + '</code>'
    + '</pre>';
};

var myxss = new jsxss.FilterXSS({
  onIgnoreTagAttr: function (tag, name, value, isWhiteAttr) {
    // 让 prettyprint 可以工作
    if (tag === 'pre' &amp;&amp; name === 'class') {
      return name + '="' + jsxss.escapeAttrValue(value) + '"';
    }
  }
});

exports.markdown = function (text) {
  return '<div class="markdown-text">' + myxss.process(md.render(text || '')) + '</div>';
};

exports.escapeSignature = function (signature) {
  return signature.split('\n').map(function (p) {
    return _.escape(p);
  }).join('<br>');

View more ways to use xss

根据白名单过滤 HTML(防止 XSS 攻击)

xss

xss是一个用于对用户输入的内容进行过滤，以避免遭受 XSS 攻击的模块（什么是 XSS 攻击？）。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HTML 的场景，xss模块通过白名单来控制允许的标签及相关的标签属性，另外还提供了一系列的接口以便用户扩展，比其他同类模块更为灵活。

项目主页： https://jsxss.com

在线测试： https://jsxss.com/zh/try.html

特性

白名单控制允许的 HTML 标签及各标签的属性
通过自定义处理函数，可对任意标签及其属性进行处理

参考资料

性能（仅作参考）

xss 模块：22.53 MB/s
validator@0.3.7 模块的 xss()函数：6.9 MB/s

测试代码参考 benchmark 目录

安装

NPM

npm install xss

Bower

bower install xss

或者

bower install https://github.com/leizongmin/js-xss.git

使用方法

在 Node.js 中使用

var xss = require("xss");
var html = xss('');
console.log(html);

在浏览器端使用

Shim 模式（参考文件 test/test.html）:

AMD 模式（参考文件 test/test_amd.html）:

说明：请勿将 URL https://rawgit.com/leizongmin/js-xss/master/dist/xss.js 用于生产环境。

使用命令行工具来对文件进行 XSS 处理

处理文件

可通过内置的 xss 命令来对输入的文件进行 XSS 处理。使用方法：

xss -i &lt;源文件&gt; -o &lt;目标文件&gt;

例：

xss -i origin.html -o target.html

在线测试

执行以下命令，可在命令行中输入 HTML 代码，并看到过滤后的代码：

xss -t

详细命令行参数说明，请输入 $ xss -h 来查看。

自定义过滤规则

在调用 xss() 函数进行过滤时，可通过第二个参数来设置自定义规则：

options = {}; // 自定义规则
html = xss('', options);

如果不想每次都传入一个 options 参数，可以创建一个 FilterXSS 实例（使用这种方法速度更快）：

options = {};  // 自定义规则
myxss = new xss.FilterXSS(options);
// 以后直接调用 myxss.process() 来处理即可
html = myxss.process('');

options 参数的详细说明见下文。

白名单

通过 whiteList 来指定，格式为：{'标签名': ['属性1', '属性2']}。不在白名单上的标签将被过滤，不在白名单上的属性也会被过滤。以下是示例：

// 只允许a标签，该标签只允许href, title, target这三个属性
var options = {
  whiteList: {
    a: ["href", "title", "target"],
  },
};
// 使用以上配置后，下面的HTML
// <a href="#"><i>大家好</i></a>
// 将被过滤为
// <a href="#">大家好</a>

默认白名单参考 xss.whiteList。

自定义匹配到标签时的处理方法

通过 onTag 来指定相应的处理函数。以下是详细说明：

function onTag(tag, html, options) {
  // tag是当前的标签名称，比如<a>标签，则tag的值是'a'
  // html是该标签的HTML，比如</a><a>标签，则html的值是'</a><a>'
  // options是一些附加的信息，具体如下：
  //   isWhite    boolean类型，表示该标签是否在白名单上
  //   isClosing  boolean类型，表示该标签是否为闭合标签，比如</a>时为true
  //   position        integer类型，表示当前标签在输出的结果中的起始位置
  //   sourcePosition  integer类型，表示当前标签在原HTML中的起始位置
  // 如果返回一个字符串，则当前标签将被替换为该字符串
  // 如果不返回任何值，则使用默认的处理方法：
  //   在白名单上：  通过onTagAttr来过滤属性，详见下文
  //   不在白名单上：通过onIgnoreTag指定，详见下文
}

自定义匹配到标签的属性时的处理方法

通过 onTagAttr 来指定相应的处理函数。以下是详细说明：

function onTagAttr(tag, name, value, isWhiteAttr) {
  // tag是当前的标签名称，比如<a>标签，则tag的值是'a'
  // name是当前属性的名称，比如href="#"，则name的值是'href'
  // value是当前属性的值，比如href="#"，则value的值是'#'
  // isWhiteAttr是否为白名单上的属性
  // 如果返回一个字符串，则当前属性值将被替换为该字符串
  // 如果不返回任何值，则使用默认的处理方法
  //   在白名单上：  调用safeAttrValue来过滤属性值，并输出该属性，详见下文
  //   不在白名单上：通过onIgnoreTagAttr指定，详见下文
}

自定义匹配到不在白名单上的标签时的处理方法

通过 onIgnoreTag 来指定相应的处理函数。以下是详细说明：

function onIgnoreTag(tag, html, options) {
  // 参数说明与onTag相同
  // 如果返回一个字符串，则当前标签将被替换为该字符串
  // 如果不返回任何值，则使用默认的处理方法（通过escape指定，详见下文）
}

自定义匹配到不在白名单上的属性时的处理方法

通过 onIgnoreTagAttr 来指定相应的处理函数。以下是详细说明：

function onIgnoreTagAttr(tag, name, value, isWhiteAttr) {
  // 参数说明与onTagAttr相同
  // 如果返回一个字符串，则当前属性值将被替换为该字符串
  // 如果不返回任何值，则使用默认的处理方法（删除该属性）
}

自定义 HTML 转义函数

通过 escapeHtml 来指定相应的处理函数。以下是默认代码 （不建议修改） ：

function escapeHtml(html) {
  return html.replace(//g, "&gt;");
}

自定义标签属性值的转义函数

通过 safeAttrValue 来指定相应的处理函数。以下是详细说明：

function safeAttrValue(tag, name, value) {
  // 参数说明与onTagAttr相同（没有options参数）
  // 返回一个字符串表示该属性值
}

自定义 CSS 过滤器

如果配置中允许了标签的 style 属性，则它的值会通过cssfilter 模块处理。 cssfilter 模块包含了一个默认的 CSS 白名单，你可以通过以下的方式配置：

myxss = new xss.FilterXSS({
  css: {
    whiteList: {
      position: /^fixed|relative$/,
      top: true,
      left: true,
    },
  },
});
html = myxss.process('');

如果不想使用 CSS 过滤器来处理 style 属性的内容，可指定 css 选项的值为 false：

myxss = new xss.FilterXSS({
  css: false,
});

要获取更多的帮助信息可看这里：https://github.com/leizongmin/js-css-filter

快捷配置

去掉不在白名单上的标签

通过 stripIgnoreTag 来设置：

true：去掉不在白名单上的标签
false：（默认），使用配置的escape函数对该标签进行转义

示例：

当设置 stripIgnoreTag = true时，以下代码

code:

过滤后将输出

code:alert(/xss/);

去掉不在白名单上的标签及标签体

通过 stripIgnoreTagBody 来设置：

false|null|undefined：（默认），不特殊处理
'*'|true：去掉所有不在白名单上的标签
['tag1', 'tag2']：仅去掉指定的不在白名单上的标签

示例：

当设置 stripIgnoreTagBody = ['script']时，以下代码

code:

过滤后将输出

code:

去掉 HTML 备注

通过 allowCommentTag 来设置：

true：不处理
false：（默认），自动去掉 HTML 中的备注

示例：

当设置 allowCommentTag = false 时，以下代码

code:
END

过滤后将输出

code: END

应用实例

允许标签以 data-开头的属性

var source = '<div data-b="4" data-a="3">hello</div>';
var html = xss(source, {
  onIgnoreTagAttr: function (tag, name, value, isWhiteAttr) {
    if (name.substr(0, 5) === "data-") {
      // 通过内置的escapeAttrValue函数来对属性值进行转义
      return name + '="' + xss.escapeAttrValue(value) + '"';
    }
  },
});

console.log("%s\nconvert to:\n%s", source, html);

运行结果：

<div data-b="4" data-a="3">hello</div>
convert to:
<div data-b="4" data-a="3">hello</div>

允许名称以 x-开头的标签

var source = "hewwww</a><a>";
var html = xss(source, {
  onIgnoreTag: function (tag, html, options) {
    if (tag.substr(0, 2) === "x-") {
      // 不对其属性列表进行过滤
      return html;
    }
  },
});

console.log("%s\nconvert to:\n%s", source, html);

运行结果：

hewwww</a><a>
    convert to: &lt;x&gt;hewwww</a><a></a>

分析 HTML 代码中的图片列表

var source =
  '<img src="img1">a<img src="img2">b<img src="img3">c<img src="img4">d';
var list = [];
var html = xss(source, {
  onTagAttr: function (tag, name, value, isWhiteAttr) {
    if (tag === "img" &amp;&amp; name === "src") {
      // 使用内置的friendlyAttrValue函数来对属性值进行转义，可将&lt;这类的实体标记转换成打印字符&lt;
      list.push(xss.friendlyAttrValue(value));
    }
    // 不返回任何值，表示还是按照默认的方法处理
  },
});

console.log("image list:\n%s", list.join(", "));

运行结果：

image list: img1, img2, img3, img4

去除 HTML 标签（只保留文本内容）

var source = "<strong>hello</strong>end";
var html = xss(source, {
  whiteList: {}, // 白名单为空，表示过滤所有标签
  stripIgnoreTag: true, // 过滤所有非白名单标签的HTML
  stripIgnoreTagBody: ["script"], // script标签较特殊，需要过滤标签中间的内容
});

console.log("text: %s", html);

运行结果：

text: helloend

授权协议

Copyright (c) 2012-2018 Zongmin Lei(雷宗民) 
https://ucdok.com

The MIT License

Permission is hereby granted, free of charge, to any person obtaining
a copy of this software and associated documentation files (the
"Software"), to deal in the Software without restriction, including
without limitation the rights to use, copy, modify, merge, publish,
distribute, sublicense, and/or sell copies of the Software, and to
permit persons to whom the Software is furnished to do so, subject to
the following conditions:

The above copyright notice and this permission notice shall be
included in all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF
MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND
NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE
LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION
OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION
WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

xss dependencies

commander cssfilter

xss development dependencies

browserify coveralls debug eslint mocha nyc uglify-js

FAQs

What is xss?

Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist. Visit Snyk Advisor to see a full health score report for xss, including popularity, security, maintenance & community analysis.

Is xss popular?

The npm package xss receives a total of 2,306,693 weekly downloads. As such, xss popularity was classified as a key ecosystem project. Visit the popularity section on Snyk Advisor to see the full health analysis.

Is xss well maintained?

We found that xss demonstrated a healthy version release cadence and project activity. It has a community of 40 open source contributors collaborating on the project. See the full package health analysis to learn more about the package maintenance status.

Is xss safe to use?

The npm package xss was scanned for known vulnerabilities and missing license, and no issues were found. Thus the package was deemed as safe to use. See the full health analysis review.

Last updated on 16 April-2024, at 16:18 (UTC).

Build a secure application checklist

Select a recommended open source package

Minimize your risk by selecting secure & well maintained open source packages

DONE

Scan your app for vulnerabilities

Scan your application to find vulnerabilities in your: source code, open source dependencies, containers and configuration files

SCAN NOW

Fix identified vulnerabilities

Easily fix your code by leveraging automatically generated PRs

AUTO FIX

Monitor for new issues

New vulnerabilities are discovered every day. Get notified if your application is affected

MONITOR APP

Package Health Score

Explore Similar Packages

Security and license risk for significant versions

Is your project affected by vulnerabilities?

Weekly Downloads (2,306,693)

Direct Usage Popularity

Embed Package Health Score Badge

Commit Frequency

Keep your project healthy

Check your package.json

Snyk Vulnerability Scanner

Not sure how to use xss?

根据白名单过滤 HTML(防止 XSS 攻击)

特性

参考资料

性能（仅作参考）

安装

NPM

Bower

使用方法

在 Node.js 中使用

在浏览器端使用

使用命令行工具来对文件进行 XSS 处理

处理文件

在线测试

自定义过滤规则

白名单

自定义匹配到标签时的处理方法

自定义匹配到标签的属性时的处理方法

自定义匹配到不在白名单上的标签时的处理方法

自定义匹配到不在白名单上的属性时的处理方法

自定义 HTML 转义函数

自定义标签属性值的转义函数

自定义 CSS 过滤器

快捷配置

去掉不在白名单上的标签

去掉不在白名单上的标签及标签体

去掉 HTML 备注

应用实例

允许标签以 data-开头的属性

允许名称以 x-开头的标签

分析 HTML 代码中的图片列表

去除 HTML 标签（只保留文本内容）

授权协议

xss dependencies

xss development dependencies

FAQs

What is xss?

Is xss popular?

Is xss well maintained?

Is xss safe to use?

Build a secure application checklist

Select a recommended open source package

Scan your app for vulnerabilities

Source Code

Open Source

Container

Config

Fix identified vulnerabilities

Monitor for new issues