JavaScript安全打印不可信HTML Blob的最佳实践及沙箱权限风险咨询

阿华AIGC实验室

2026-5-7

安全打印不可信HTML Blob的最佳实践及风险分析

首先得给你点出当前实现里的核心安全问题——你加的allow-same-origin权限几乎完全废掉了沙箱的防护作用！

你的当前实现的风险拆解

allow-same-origin是最大隐患：Blob的Object URL属于当前页面同源，给iframe加这个权限后，iframe里的恶意脚本就拥有了和主页面完全相同的源权限。这意味着它可以直接读取你的localStorage、sessionStorage，甚至修改主页面DOM、发送带凭证的请求——完全达到了恶意脚本想要窃取敏感数据的目的。
allow-modals的额外风险：虽然这个权限本身只是允许弹窗，但结合allow-same-origin的话，恶意脚本可以用弹窗进行钓鱼，或者利用弹窗API做其他恶意操作，不过核心风险还是来自allow-same-origin。

安全打印的最佳实践

方案1：用严格沙箱+最小权限的iframe（推荐）

我们可以去掉危险的allow-same-origin，改用沙箱的allow-print和allow-scripts权限（这两个都是必要的最小权限）：

allow-print：直接允许iframe内调用print()，不需要allow-modals。
allow-scripts：让页面内的必要脚本（比如打印触发逻辑）执行，同时因为没有同源权限，恶意脚本被限制在沙箱内，无法访问主页面的任何敏感资源。

修正后的代码示例：

export function printBlob(blob: Blob): void {
  const url = window.URL.createObjectURL(blob);
  const iframe = document.createElement('iframe');

  iframe.onload = function() {
    const contentWindow = this.contentWindow;
    contentWindow.focus();
    contentWindow.print();
    
    // 打印完成后自动清理
    contentWindow.onafterprint = () => {
      document.body.removeChild(iframe);
      window.URL.revokeObjectURL(url);
    };
  };

  // 隐藏iframe的样式
  iframe.style.cssText = 'position: fixed; right: 0; bottom: 0; width: 0; height: 0; border: 0;';
  
  // 设置最小必要的沙箱权限
  iframe.sandbox.add('allow-scripts');
  iframe.sandbox.add('allow-print');
  
  iframe.src = url;
  document.body.appendChild(iframe);
}

方案2：预处理不可信HTML+沙箱（双重防护）

如果想要更稳妥，可以先对不可信HTML进行过滤，用DOMPurify这样的库移除所有恶意脚本、危险属性（比如onclick、src里的javascript伪协议），再加载到沙箱iframe里。这样即使沙箱有潜在漏洞，预处理后的HTML也不会包含恶意代码。

示例流程：

import DOMPurify from 'dompurify';

// 先过滤HTML内容
async function sanitizeBlob(blob: Blob): Promise<Blob> {
  const html = await blob.text();
  const sanitizedHtml = DOMPurify.sanitize(html);
  return new Blob([sanitizedHtml], { type: 'text/html' });
}

// 然后调用修正后的printBlob函数
sanitizeBlob(untrustedBlob).then(printBlob);