1

我正在客户端使用著名的 wmd-javascript 编辑器 PageDown 的重新实现(也用于 Stackoverflow)。

现在,我正在为我的服务器(运行 tomcat7)搜索一个 HTML sanitizer,它应该只过滤 PageDown 编辑器可以创建的 HTML 子集。

我的第一选择是 OWASP 项目,但我没有找到 PageDown 的 xml 规则文件——tinymce 的规则文件过于严格,因为它不包括例如“img”标签。

建立我自己的一套规则不仅很痛苦,而且给我带来了安全问题。出于这个原因,我想问是否有 Java 类或 OWASP 规则或其他东西也已经过测试。

帮助将不胜感激!

提前谢谢,托马斯

4

3 回答 3

2

您可以使用JSoup.
它允许您将结果中所需的元素列入白名单HTML

jsoup_cookbook_cleaning-html_whitelist-sanitizer

于 2012-03-18T09:48:10.223 回答
0

OWASP 的新 HTML Sanitizer不需要您以 XML 配置语言维护规则。

它带有可以联合在一起的预打包策略,如果您想执行自定义策略,可以在 Java 代码中执行此操作。

于 2014-02-07T22:33:33.117 回答
0

使用 HTML Purifier、html5lib 或其他专门为 HTML 清理构建的系统。(因为您询问了 OWASP:好的会使用 OWASP 白名单中允许的标签、属性和其他语法。)

于 2012-05-06T22:07:37.517 回答