Javascript 在应用程序中呈现富文本HTML,同时防止XSS攻击(可能性和方法)
我有一个特殊的问题。我正在开发一个存储html丰富内容的应用程序。然后在Iframe中渲染它。在这方面我有很多问题Javascript 在应用程序中呈现富文本HTML,同时防止XSS攻击(可能性和方法),javascript,html,css,security,xss,Javascript,Html,Css,Security,Xss,我有一个特殊的问题。我正在开发一个存储html丰富内容的应用程序。然后在Iframe中渲染它。在这方面我有很多问题 加载和呈现这样的丰富内容时,是否存在XSS攻击的可能性?如果是,那么这些攻击应该是什么 若以上问题的答案是肯定的,那个么我应该如何预防呢 目前,我们正在使用JSOP库从内容中剥离html标记,并将其发送到服务器进行渲染。有没有一种方法可以保留CSS和样式属性,并且在我的特定情况下仍然可以保护我的应用程序免受XSS攻击?(注意:我只是渲染内容;用户没有在这里输入任何数据;至少在整个过
- 清理库:可配置的基于白名单
- 反艾米:可配置
- owasp java html消毒器:可配置的基于白名单的
- jsoup库:基于可配置白名单
- owasp:一个很好的参考
- 编码:仅用于用户输入。我认为这与我的用例无关
- 内容安全策略:似乎与 jsoup/类似消毒的溶液
我使用过的资源是:有人吗?有什么帮助吗?