我们计划在JSP中使用TinyMce。
我们有一个标准的安全过滤器,可以跟踪表单中的输入数据。 它识别尝试任何入侵/跨站点脚本的不安全代码输入。
我的问题如下:
(我在StackOverflow中发现了一个提到PHP库的链接,但我在寻找Java中的东西。)
答案 0 :(得分:8)
SQL注入应该是您在数据层中担心的事情,而不是您的前端。如果您在将数据插入数据库时使用正确的技术来防止SQL注入,则不必担心使用TinyMCE或前端代码的任何其他部分做任何事情。
另一方面,跨站脚本攻击是一个不同的故事。防止跨站点脚本攻击的最佳策略通常是HTML-Encode 您在前端层中未生成的所有。但是,由于您使用的是TinyMCE,我猜您希望允许用户生成的HTML出现在您的网站上。在这种情况下,您需要查找“HTML Sanitizing。”
以下是一些启动您的链接:
您可以决定是否更喜欢在将HTML保存到数据库之前,在从数据库中检索它之后清除HTML,或者两者兼而有之。每种策略都有利弊。