Pagedown(WMD-Editor)Java Sanitizer(或OWASP xml规则)

时间:2011-09-22 16:49:24

标签: java html markdown wmd owasp

我正在客户端使用着名的wmd-javascript编辑器PageDown的重新实现(也在Stackoverflow上使用)。

现在,我正在为我的服务器(运行tomcat7)搜索HTML清理程序,它只应过滤PageDown编辑器可以创建的HTML子集。

我的第一个选择是OWASP项目,但我没有找到PageDown的xml规则文件 - tinymce的规则文件限制性太强,因为它不包括例如一个“img”-tag。

构建我自己的一套规则不仅非常痛苦,而且还给我带来了安全问题。出于这个原因,我想询问是否有Java类或OWASP规则或其他已经过测试的内容。

非常感谢帮助!

提前, 托马斯

3 个答案:

答案 0 :(得分:2)

您可以使用JSoup
它允许您在结果HTML中将所需元素列入白名单。

请参阅jsoup_cookbook_cleaning-html_whitelist-sanitizer

答案 1 :(得分:0)

使用HTML Purifier,html5lib或专门为HTML清理构建的其他系统。 (因为你问过OWASP:好的人会使用允许的标签,属性和其他语法的OWASP白名单。)

答案 2 :(得分:0)

OWASP's new HTML Sanitizer不要求您使用XML配置语言维护规则。

它带有可以联合在一起的pre-packaged策略,如果要执行自定义策略,可以使用Java代码执行此操作。