HTML 미리보기 · 정화 · 렌더 · 정화 · XSS 차단

언제 쓰나

UI 조각 · 뉴스레터 템플릿 · 사용자 제출 HTML 같은 작은 스니펫을 보고, 스크립트가 섞여 있는지 한눈에 확인하고 싶을 때. 실제 페이지에 붙이기 전에 XSS 벡터가 살아있지는 않은지 걸러 줍니다.

사용법

왼쪽 칸에 HTML 을 붙여넣으면 오른쪽 iframe 에 샌드박스된 상태로 렌더됩니다. sandbox 속성을 빈 값으로 걸어 두기 때문에 스크립트는 실행되지 않고 폼 제출도 막힙니다.

위쪽에서 정화 모드를 고르면 <script>, on* 이벤트 핸들러, javascript: · 일부 data: URL 이 제거된 안전본이 미리보기와 아래 복사용 텍스트박스 양쪽에 적용됩니다. 원본 모드는 들어온 그대로 보여 주되 여전히 샌드박스 안에서 렌더됩니다.

제한

<style> 블록도 제거 대상입니다. 이메일처럼 인라인 CSS 만 남기는 용도에 맞춰져 있습니다.
완전한 HTML 문서 (<html>, <head>) 를 붙여넣으면 <body> 내부만 남깁니다. 미리보기 용 래퍼가 자동으로 덮어씌우기 때문입니다.

샌드박스 iframe 안에서 미리보기

`sandbox=""` 로 격리된 iframe 에서 렌더. 정화 모드는 script · on* · javascript: · 위험 data: URI 를 제거합니다.

자주 묻는 질문

스크립트 태그도 실행되나요?

기본은 `sandbox=""` iframe 으로 격리되어 script 가 실행되지 않습니다. '정화 모드' 를 켜면 script · on* 이벤트 · javascript: URL · 위험 data: URI 가 입력에서 제거됩니다.

외부 CSS · 이미지를 불러올 수 있나요?

네. iframe 안에서 절대 URL 의 외부 자원은 정상 로드됩니다. 단 cross-origin 정책에 따라 일부 리소스가 차단될 수 있습니다.

정화 모드는 어떤 위험한 패턴을 제거하나요?

'<script>' 태그, `onclick` 등 on* 이벤트 핸들러, `javascript:` URL, `data:text/html` 같은 위험한 data URI 등. 제거된 항목 수가 결과 영역에 표시됩니다.