我想让我的网站免受 XSS 攻击或用户在评论部分提交 HTML 的影响。我想让所有提交的 HTML '不安全'并转义它们,除了我用来突出显示通过 javascript 提交的代码的一个标记(它使代码很漂亮)。这个概念称为 HTML 净化。我只希望<pre>标签是安全的。
问问题
791 次
1 回答
1
使用OWASP Sanitizer,您可以创建一个只允许<pre>标签通过的策略:
// Define the policy.
Function<HtmlStreamEventReceiver, HtmlSanitizer.Policy> policy
= new HtmlPolicyBuilder()
.allowElements("pre")
.toFactory();
// Sanitize your output.
HtmlSanitizer.sanitize(myHtml, policy.apply(myHtmlStreamRenderer));
于 2013-07-22T17:59:20.167 回答