Tôi đang tìm lớp/util vv để khử trùng mã HTML, tức là xóa các thẻ, thuộc tính và giá trị nguy hiểm để tránh XSS và các cuộc tấn công tương tự.Làm thế nào để khử trùng mã HTML trong Java để ngăn chặn các cuộc tấn công XSS?
Tôi nhận mã html từ trình soạn thảo văn bản phong phú (ví dụ: TinyMCE) nhưng nó có thể được gửi theo cách độc hại xung quanh, chấp nhận xác thực TinyMCE ("Dữ liệu gửi biểu mẫu ngoài trang web").
Có điều gì đơn giản để sử dụng làm InputFilter trong PHP không? giải pháp hoàn hảo tôi có thể tưởng tượng công trình như thế (giả khử trùng được đóng gói trong lớp HtmlSanitizer):
String unsanitized = "...<...>..."; // some potentially
// dangerous html here on input
HtmlSanitizer sat = new HtmlSanitizer(); // sanitizer util class created
String sanitized = sat.sanitize(unsanitized); // voila - sanitized is safe...
Cập nhật - giải pháp đơn giản hơn, thì càng tốt! Lớp util nhỏ với ít phụ thuộc bên ngoài trên các thư viện/khung công tác khác càng tốt - sẽ tốt nhất cho tôi.
Làm thế nào về điều đó?
Vì vậy, những gì bạn về cơ bản muốn là cho khách hàng để có thể gửi biểu mẫu sau đó được hiển thị trong hình dạng của fx. một lưu bút? Và bạn muốn họ có thể sử dụng html nhưng bạn vẫn muốn có khả năng chặn người dùng độc hại hacking-tries? Hay tôi đã sai ở đây ...? – Latze
@Latze: Tôi muốn khách hàng (người dùng thông qua trình duyệt của họ) gửi nội dung richtext (định dạng html qua trình chỉnh sửa văn bản phong phú - TinyMCE) nhưng để kiểm tra và xóa mọi nội dung nguy hiểm (không an toàn). Tôi không biết fx và sổ lưu bút mà bạn đề cập đến trong ngữ cảnh này là gì. – WildWezyr
Ah! Tôi sẽ cung cấp cho nó một shot, cho tôi một vài phút – Latze