2

我正在编写一个 java webapp,我想让我的用户输入包含XSS / Cross-Site-Scripting安全标记的文本。我想将用户生成的标记保存到数据库并将其显示为 HTML。

我知道降价,但这允许输入不是 XSS 安全的原始 HTML。

java中是否有任何类似wiki/markdown的解释器是XSS安全的?我还想听听任何可能对这里有所帮助的 javascript / wysiwig 编辑器。

或者,Java 中是否有任何 XSS 过滤器可以清理 HTML,使其成为 XSS 安全的。

4

2 回答 2

3

我将 Markdown(实际上是 Pegdown)与Jsoup一起使用,效果很好。

汤...

  • 根据安全白名单清理用户提交的内容,以防止 XSS 攻击。
  • 输出整洁的 HTML
于 2013-01-25T15:44:06.897 回答
2

看看 JSoup,它允许您指定白名单:http: //jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

于 2013-01-25T15:46:24.860 回答