我正在客户端使用着名的wmd-javascript编辑器PageDown的重新实现(也在Stackoverflow上使用)。
现在,我正在为我的服务器(运行tomcat7)搜索HTML清理程序,它只应过滤PageDown编辑器可以创建的HTML子集。
我的第一个选择是OWASP项目,但我没有找到PageDown的xml规则文件 - tinymce的规则文件限制性太强,因为它不包括例如一个“img”-tag。
构建我自己的一套规则不仅非常痛苦,而且还给我带来了安全问题。出于这个原因,我想询问是否有Java类或OWASP规则或其他已经过测试的内容。
非常感谢帮助!
提前, 托马斯
答案 0 :(得分:2)
您可以使用JSoup
。
它允许您在结果HTML
中将所需元素列入白名单。
答案 1 :(得分:0)
使用HTML Purifier,html5lib或专门为HTML清理构建的其他系统。 (因为你问过OWASP:好的人会使用允许的标签,属性和其他语法的OWASP白名单。)
答案 2 :(得分:0)
OWASP's new HTML Sanitizer不要求您使用XML配置语言维护规则。
它带有可以联合在一起的pre-packaged策略,如果要执行自定义策略,可以使用Java代码执行此操作。