java中的安全html_Java_Html_Escaping_Xss_Playframework 2.0

java中的安全html

java html playframework-2.0

java中的安全html,java,html,escaping,xss,playframework-2.0,Java,Html,Escaping,Xss,Playframework 2.0,我有一些包含HTML的输入，比如等。我需要一种方法来避免将我的站点暴露给XSS等的“坏的”HTML 经过几个小时的谷歌搜索，我发现了一个看起来很有希望的方法建议使用什么方法来逃避坏的HTML 编辑：让我把事情弄清楚我使用的是一个输出html的javascript文本编辑器。如果我使用像bbcode这样的代码，不是会容易得多吗？您可能只想转义所有html。如果你想让用户能够使用基本的html标记，比如或，那么你可以用[b]和[i]来替换它们（如果你的论坛/你正在创建的任何东西都可以使用bbc

我有一些包含

HTML

的输入，比如

等。我需要一种方法来避免将我的站点暴露给XSS等的“坏的”

HTML

经过几个小时的谷歌搜索，我发现了一个看起来很有希望的方法

建议使用什么方法来逃避坏的

HTML

编辑：

让我把事情弄清楚

我使用的是一个输出html的javascript文本编辑器。如果我使用像bbcode这样的代码，不是会容易得多吗？

您可能只想转义所有html。如果你想让用户能够使用基本的html标记，比如

或

，那么你可以用[b]和[i]来替换它们（如果你的论坛/你正在创建的任何东西都可以使用bbcode），然后用

替换所有的

，
是制作第三方html的工具，CSS和JavaScriptsafe嵌入您的网站。
Playframework 2已经提供了一个解决方案
@Html（）
函数过滤坏的Html，这非常好
我真的很喜欢play2，OWASP反艾米项目就是为了这个。如果您需要用户能够提交结构化文本，请查看markdown（比BBCode好得多）。
只有“坏”HTML？或者所有的HTML（后者很简单）？只有像标记这样的东西。那么