update mail parser

LeiCraft · LeiCraft · commit 74f3e36ac4a4 · 2026-02-12T16:59:28.000Z
diff --git a/src/utils/mails/parser.ts b/src/utils/mails/parser.ts
@@ -144,20 +144,45 @@ export class MailParser {
      */
     private static sanitizeHtml(html: string): string {
         return MailParser.purify.sanitize(html, {
-            ALLOWED_TAGS: [
-                'p', 'br', 'strong', 'em', 'u', 's', 'a', 'img',
-                'h1', 'h2', 'h3', 'h4', 'h5', 'h6',
-                'ul', 'ol', 'li', 'blockquote', 'pre', 'code',
-                'table', 'thead', 'tbody', 'tr', 'th', 'td',
-                'div', 'span', 'hr'
-            ],
-            ALLOWED_ATTR: [
-                'href', 'src', 'alt', 'title', 'class', 'id',
-                'width', 'height', 'style', 'target', 'rel'
-            ],
+            USE_PROFILES: { html: true },
+            // Allow only safe tags for email rendering
+            // ALLOWED_TAGS: [
+            //     // Structure
+            //     'div', 'span', 'p', 'br', 'hr',
+            //     // Headings
+            //     'h1', 'h2', 'h3', 'h4', 'h5', 'h6',
+            //     // Text formatting
+            //     'b', 'i', 'u', 'em', 'strong', 'small', 'sub', 'sup', 's', 'strike', 'del', 'ins', 'mark',
+            //     // Lists
+            //     'ul', 'ol', 'li', 'dl', 'dt', 'dd',
+            //     // Links & images
+            //     'a', 'img',
+            //     // Tables
+            //     'table', 'thead', 'tbody', 'tfoot', 'tr', 'th', 'td', 'caption', 'colgroup', 'col',
+            //     // Semantic
+            //     'blockquote', 'pre', 'code', 'abbr', 'address', 'cite', 'q',
+            //     // Layout (common in email HTML)
+            //     'center', 'font',
+            // ],
+            // ALLOWED_ATTR: [
+            //     'href', 'src', 'alt', 'title', 'width', 'height',
+            //     'style', 'class', 'id', 'dir', 'lang',
+            //     'colspan', 'rowspan', 'cellpadding', 'cellspacing', 'border',
+            //     'align', 'valign', 'bgcolor', 'color', 'size', 'face',
+            //     'target', 'rel',
+            // ],
+
+            // Forbid dangerous URI schemes
             ALLOWED_URI_REGEXP: /^(?:(?:(?:f|ht)tps?|mailto|tel|callto|cid|xmpp|data):|[^a-z]|[a-z+.\-]+(?:[^a-z+.\-:]|$))/i,
+
+            // Forbid forms, iframes, scripts etc.
+            FORBID_TAGS: ['script', 'iframe', 'object', 'embed', 'form', 'input', 'textarea', 'select', 'button', 'meta', 'link', 'base'],
+            FORBID_ATTR: ['onerror', 'onload', 'onclick', 'onmouseover', 'onfocus', 'onblur', 'onsubmit', 'onreset', 'onselect', 'onchange', 'onkeydown', 'onkeypress', 'onkeyup'],
+
+            // Remove contents of dangerous elements (not just the tags)
             KEEP_CONTENT: true,
-            RETURN_TRUSTED_TYPE: false,
+            // Allow ARIA attributes
+            ALLOW_ARIA_ATTR: true,
         });
     }
 
