0

我正在使用 JSP 和 Java Servlet 处理的网页需要使用户能够编写包含文本以及各种语言(包括 html 和 javascript)代码的评论和文章。数据存储在 mysql 数据库中,稍后在页面上显示。

对于输入,我想使用许多 WYSIWYG 编辑器之一。那些通常为数据库生成 (x)Html 代码。

这意味着在插入数据库之前,我需要在服务器端进行某种类型的清理,因为可以轻松绕过编辑器并将恶意代码显示在站点上(数据库本身由准备好的语句保护)。

处理该主题的最佳和最简单的方法是什么?

切换到 BBCode 输入而不是 html 是否更有意义?

我在这里找到了几个线程,但大多数都没有考虑到代码实际上需要在网站上显示,而且大多数线程已经有好几年了。

非常感谢提前!

4

1 回答 1

0

您可以使用 KefirBB 来使用 BBCodes 或进行 HTML 过滤。 https://github.com/kefirfromperm/kefirbb

于 2016-08-30T13:02:53.760 回答