生态Web 与网络

言页:安全 HTML

使用言页 1.0 的默认转义节点、保守 URL 策略、资源预算和增量渲染生成服务端 HTML。

言页(yanxu-html)1.0.0 是纯言序的安全 HTML 构造与增量渲染库。它用不同节点表示 普通文字、属性、元素、片段、组件、文档和可信扩展,让自动转义成为默认路径。

安装

最低言序为 1.1.12:

yanbao add html --package 言页 --version '^1.0'
yanbao install
[依赖]
言页 = { git = "https://github.com/yanxulang/yanxu-html.git", 修订 = "v1.0.0", 版 = "^1.0" }

构造页面

「包:言页」 HTML;

 页面  HTML.文档
    HTML.元素「html」,【HTML.属性「lang」「zh-CN」)】,【
        HTML.元素「body」,【】,【
            HTML.元素「h1」,【】,【HTML.文字「言序 <Web>」)】),
            HTML.元素「a」,【HTML.属性「href」「/docs」)】,【
                HTML.文字「阅读 & 学习」
            】)
        】)
    】)
);

 HTML.安全渲染(页面);

普通文字和文字属性会自动转义。标签和属性名使用保守白名单;默认拒绝事件属性、脚本、 样式、嵌入、SVG/Math 子语言和重复属性。URL 还要通过字符与协议白名单。

资源限制与增量输出

 正文: HTML.渲染受限(页面,{
    「最大深度」32
    「最大节点」5000
    「最大属性」64
    「最大输出字符」1048576
    「最大片段」50000
});

流式渲染(节点,写入法,限制)逐片调用同步回调,不先构造完整正文,并返回节点、字符 和片段统计。它不是事务:后续失败不会撤回已经发送的片段,上层应先完成认证、授权和 数据读取,再决定何时发送首字节。

显式可信边界

HTML.文字「<strong>不可信文字</strong>」);
HTML.原始「<strong>已审计常量</strong>」);
HTML.扩展(可信写出器);

原始扩展不会清洗内容,只适合源码常量或经过专用安全处理的输出。它们仍受统一 输出预算约束。不要把用户、数据库、文件或网络内容直接传入。

错误、权限与限制

HTML.错误详情HTML.尝试渲染提供稳定HTML_*代码。库不申请文件、网络、监听、 环境、进程或原生权限。

1.0 不解析/清洗现有 HTML,不提供 DOM、模板编译、CSS 清洗、CSP 或浏览器运行时;URL 策略不判断主机、重定向、同源和业务授权;流式接口不提供异步背压或取消。

仓库与完整 API:yanxulang/yanxu-html1.0.0 Release