java中的安全html
我有一些包含java中的安全html,java,html,escaping,xss,playframework-2.0,Java,Html,Escaping,Xss,Playframework 2.0,我有一些包含HTML的输入,比如等。我需要一种方法来避免将我的站点暴露给XSS等的“坏的”HTML 经过几个小时的谷歌搜索,我发现了一个看起来很有希望的方法 建议使用什么方法来逃避坏的HTML 编辑: 让我把事情弄清楚 我使用的是一个输出html的javascript文本编辑器。如果我使用像bbcode这样的代码,不是会容易得多吗?您可能只想转义所有html。如果你想让用户能够使用基本的html标记,比如或,那么你可以用[b]和[i]来替换它们(如果你的论坛/你正在创建的任何东西都可以使用bbc
HTML
的输入,比如
等。我需要一种方法来避免将我的站点暴露给XSS等的“坏的”HTML
经过几个小时的谷歌搜索,我发现了一个看起来很有希望的方法
建议使用什么方法来逃避坏的HTML
编辑:
让我把事情弄清楚
我使用的是一个输出html的javascript文本编辑器。如果我使用像bbcode这样的代码,不是会容易得多吗?您可能只想转义所有html。如果你想让用户能够使用基本的html标记,比如
或
,那么你可以用[b]和[i]来替换它们(如果你的论坛/你正在创建的任何东西都可以使用bbcode),然后用
替换所有的,是制作第三方html的工具,CSS和JavaScriptsafe嵌入您的网站。Playframework 2已经提供了一个解决方案
@Html()
函数过滤坏的Html,这非常好
我真的很喜欢play2,OWASP反艾米项目就是为了这个。如果您需要用户能够提交结构化文本,请查看markdown(比BBCode好得多)。只有“坏”HTML?或者所有的HTML(后者很简单)?只有像标记这样的东西。那么
标记:)呢?broswers会在标记之间加空格吗?axl:是的。问题应该是“浏览器渲染的是什么样的疯狂狗屎?”浏览器对渲染的内容非常放松。还有一个新行。也将使