我正在使用java中的spring项目。我在服务器中添加了Cross Scripting Filter,以防止用户在输入字段中插入脚本,从用户输入中过滤所有html标记。
问题是许多用户在某些输入字段中输入了一些格式化文本,并且在提交请求后,测试编队已经消失。
如何让用户输入一些基本的html标签?
我非常关心安全问题。因此,我想检查客户端和服务器中的内容,以确保没有脚本或任何有害的html标签,如iframe,如果用户可以在提交之前预览内容,那将会更好。
答案 0 :(得分:0)
您可以使用https://jsoup.org/(用于后端的java),您可以使用它创建白名单。
如果用户类型是异步加载的,你可以用一个js解析器解析它:有this one
另外,作为附加安全措施,您可以使用标题content security policy。
只是一些建议..