Javascript 在应用程序中呈现富文本HTML，同时防止XSS攻击（可能性和方法）_Javascript_Html_Css_Security_Xss

Javascript 在应用程序中呈现富文本HTML，同时防止XSS攻击（可能性和方法）

javascript html css security

Javascript 在应用程序中呈现富文本HTML，同时防止XSS攻击（可能性和方法）,javascript,html,css,security,xss,Javascript,Html,Css,Security,Xss,我有一个特殊的问题。我正在开发一个存储html丰富内容的应用程序。然后在Iframe中渲染它。在这方面我有很多问题加载和呈现这样的丰富内容时，是否存在XSS攻击的可能性？如果是，那么这些攻击应该是什么若以上问题的答案是肯定的，那个么我应该如何预防呢目前，我们正在使用JSOP库从内容中剥离html标记，并将其发送到服务器进行渲染。有没有一种方法可以保留CSS和样式属性，并且在我的特定情况下仍然可以保护我的应用程序免受XSS攻击？（注意：我只是渲染内容；用户没有在这里输入任何数据；至少在整个过

我有一个特殊的问题。我正在开发一个存储html丰富内容的应用程序。然后在Iframe中渲染它。在这方面我有很多问题

加载和呈现这样的丰富内容时，是否存在XSS攻击的可能性？如果是，那么这些攻击应该是什么

若以上问题的答案是肯定的，那个么我应该如何预防呢

目前，我们正在使用JSOP库从内容中剥离html标记，并将其发送到服务器进行渲染。有没有一种方法可以保留CSS和样式属性，并且在我的特定情况下仍然可以保护我的应用程序免受XSS攻击？（注意：我只是渲染内容；用户没有在这里输入任何数据；至少在整个过程中没有；尽管可能最初的原始数据有恶意contnet）。实际上，除了使用基于白名单或黑名单（标签）的解决方案之外，还有其他方法吗

到目前为止，我所看到的如下

清理库：可配置的基于白名单
反艾米：可配置
owasp java html消毒器：可配置的基于白名单的
jsoup库：基于可配置白名单
owasp：一个很好的参考
编码：仅用于用户输入。我认为这与我的用例无关
内容安全策略：似乎与 jsoup/类似消毒的溶液

简而言之，我需要的是CSS和样式保持不变，其余的我可以阻止

我使用过的资源是：

有人吗？有什么帮助吗？