从源码层看CSDN AI渲染引擎:为什么你的<code>标签被自动过滤?(2024 Q2平台内核逆向笔记)
更多请点击: https://intelliparadigm.com第一章:从源码层看CSDN AI渲染引擎:为什么你的
第一章:从源码层看CSDN AI渲染引擎:为什么你的标签被自动过滤?(2024 Q2平台内核逆向笔记)
CSDN 于 2024 年 Q2 全面升级其内容渲染内核,引入基于 AST 分析的 AI 安全过滤器(代号:CSDN-ASTGuard),该模块在 DOM 构建前对 HTML 片段进行多阶段语义校验。其中,标签因历史 XSS 攻击链中高频出现,被默认纳入「高风险内联代码容器」白名单黑名单双控机制——既不禁止原始标签存在,又强制剥离其内部未转义的嵌套 HTML 实体与 JS 执行上下文。关键过滤逻辑定位
逆向分析显示,核心过滤发生在renderer/ast/sanitize.go的SanitizeCodeBlock函数中。该函数调用html.EscapeString()对textContent进行无条件转义,并移除所有子节点中的on*属性及javascript:协议 URI:func SanitizeCodeBlock(node *html.Node) { if node.Data == "code" { for c := node.FirstChild; c != nil; c = c.NextSibling { if c.Type == html.TextNode { // 强制转义文本内容,防止