生态Web 与网络
言页:安全 HTML
使用言页 1.0 的默认转义节点、保守 URL 策略、资源预算和增量渲染生成服务端 HTML。
言页(yanxu-html)1.0.0 是纯言序的安全 HTML 构造与增量渲染库。它用不同节点表示
普通文字、属性、元素、片段、组件、文档和可信扩展,让自动转义成为默认路径。
安装
最低言序为 1.1.12:
yanbao add html --package 言页 --version '^1.0'
yanbao install[依赖]
言页 = { git = "https://github.com/yanxulang/yanxu-html.git", 修订 = "v1.0.0", 版 = "^1.0" }构造页面
引「包:言页」为 HTML;
定 页面 为 HTML.文档(
HTML.元素(「html」,【HTML.属性(「lang」,「zh-CN」)】,【
HTML.元素(「body」,【】,【
HTML.元素(「h1」,【】,【HTML.文字(「言序 <Web>」)】),
HTML.元素(「a」,【HTML.属性(「href」,「/docs」)】,【
HTML.文字(「阅读 & 学习」)
】)
】)
】)
);
言 HTML.安全渲染(页面);普通文字和文字属性会自动转义。标签和属性名使用保守白名单;默认拒绝事件属性、脚本、 样式、嵌入、SVG/Math 子语言和重复属性。URL 还要通过字符与协议白名单。
资源限制与增量输出
定 正文:文 为 HTML.渲染受限(页面,{
「最大深度」:32,
「最大节点」:5000,
「最大属性」:64,
「最大输出字符」:1048576,
「最大片段」:50000
});流式渲染(节点,写入法,限制)逐片调用同步回调,不先构造完整正文,并返回节点、字符
和片段统计。它不是事务:后续失败不会撤回已经发送的片段,上层应先完成认证、授权和
数据读取,再决定何时发送首字节。
显式可信边界
HTML.文字(「<strong>不可信文字</strong>」);
HTML.原始(「<strong>已审计常量</strong>」);
HTML.扩展(可信写出器);原始和扩展不会清洗内容,只适合源码常量或经过专用安全处理的输出。它们仍受统一
输出预算约束。不要把用户、数据库、文件或网络内容直接传入。
错误、权限与限制
HTML.错误详情和HTML.尝试渲染提供稳定HTML_*代码。库不申请文件、网络、监听、
环境、进程或原生权限。
1.0 不解析/清洗现有 HTML,不提供 DOM、模板编译、CSS 清洗、CSP 或浏览器运行时;URL 策略不判断主机、重定向、同源和业务授权;流式接口不提供异步背压或取消。
仓库与完整 API:yanxulang/yanxu-html, 1.0.0 Release。