Streamdown基于harden-react-markdown构建,通过以下多层防护确保渲染安全:
- 默认HTML过滤:自动转义原生HTML标签,防止script标签等危险内容执行
- 属性白名单:对于允许的HTML元素(如a标签),仅保留href、title等安全属性
- 链接验证:自动为所有外部链接添加rel=’noopener noreferrer’防止钓鱼攻击
高级安全配置:
- 通过components参数重写渲染器,强制所有链接添加target=’_blank’:
components={{ a: ({href, children}) => <a href="/pt/{href}/" target="’_blank’" rel="’noreferrer’">{children}</a> }} - 使用remark-plugins添加内容过滤(如移除图片标签):
import { remark } from ‘remark’
import filter from ‘remark-html-filter’
remark().use(filter, {allowedTags: [‘p’, ‘code’]}) - 对用户输入内容预先进行DOMPurify处理
Essa resposta foi extraída do artigoStreamdown:专为 AI 流式响应设计的 Markdown 渲染组件O
Não pode ser reproduzido sem permissão:Ferramentas de produtividade de IA " 如何防止未经验证的Markdown内容导致XSS安全风险?
Português do Brasil 
简体中文 
English 
日本語 
Deutsch