我正在使用 JSP 和 Java Servlet 处理的网页需要使用户能够编写包含文本以及各种语言(包括 html 和 javascript)代码的评论和文章。数据存储在 mysql 数据库中,稍后在页面上显示。
对于输入,我想使用许多 WYSIWYG 编辑器之一。那些通常为数据库生成 (x)Html 代码。
这意味着在插入数据库之前,我需要在服务器端进行某种类型的清理,因为可以轻松绕过编辑器并将恶意代码显示在站点上(数据库本身由准备好的语句保护)。
处理该主题的最佳和最简单的方法是什么?
切换到 BBCode 输入而不是 html 是否更有意义?
我在这里找到了几个线程,但大多数都没有考虑到代码实际上需要在网站上显示,而且大多数线程已经有好几年了。
非常感谢提前!