2

私は Java Web アプリケーションを作成しており、ユーザーがXSS/クロスサイト スクリプティングで安全なマークアップを含むテキストを入力できるようにしたいと考えています。ユーザーが生成したマークアップをデータベースに保存し、HTML として表示したいと考えています。

私はマークダウンを認識してますが、これにより、XSS セーフではない生の HTML を入力できます。

XSSセーフであるJavaのwikiのような/マークダウンのようなインタープリターはありますか? また、ここで役立つ可能性のある javascript / wysiwig エディターについても知りたいです。

または、XSS セーフになるように HTML をサニタイズできる Java の XSS フィルタはありますか。

4

2 に答える 2

3

Markdown (実際には Pegdown) をJsoupと一緒に使用すると、うまく機能します。

スープ...

  • XSS 攻撃を防ぐために、ユーザーが送信したコンテンツを安全なホワイトリストに対してクリーンアップします。
  • きちんとした HTML を出力する
于 2013-01-25T15:44:06.897 に答える
2

ホワイトリストを指定できる JSoup を見てみましょう: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

于 2013-01-25T15:46:24.860 に答える