Какие есть npm пакеты для очистки текста от вредоносного кода?

Question

[NikKoster]

Пользователь на сайте может заполнять текстовые поля формы textarea и input=text
При получении этих данных на сервере, необходимо проверять/очищать переданный текст от вредоносного кода/символов (наподобие такого: <script>)
Посоветуйте npm пакет решающий эту или подобную задачу.
Гуглеж мне в поиске пакета не помог или я выбрал не верные ключевые слова.

Comments

[Sergey Romanov]

Просто на сервере все входящие данные преобразуй. Сделай единую фнукцию например прототип к строке

String.propotype.toSafeString = function() {
    return this.replace(/<script>/ig, '');
}

Там можно добавлять что угодно со времинем. А потом в коде любую строку которую получил.

str.toSafeStirng()

Таким способом ты получишь централизованное место, где поправив, сразу изменишь вход всех перемнных.

Но к сожалению ввод типа

[NikKoster]

Ищу именно готовое решение, чтобы не приходилось выявлять у себя пролезшие уязвимости и потом латать их.

Answer 1

[Александр Черемхин]

список и keyword https://www.npmjs.com/search?q=keywords%3Asanitization

Comments

[NikKoster]

В этом списке в основном валидаторы объектов, которые для другого.
Тем не менее, наткнувшись там на пакет escape-goat, далее нашел аналогичный более быстрый пакет escape-html.

Как я понял, для безопасной вставки на сайт пользовательского текста достаточно в нем преобразовать символы & < > " ' в мнемоники html. После этого скрипты и другой вредоносный код запускаемый из атрибутов тегов не запустится.

[Александр Черемхин]

второй в списке защита от атак xxs ( внедрение кода)
https://www.npmjs.com/package/xss
зашита от xxs большая тема и экранирование символов, только первый очевидный шаг.
https://habr.com/ru/post/345494/