【发布时间】:2014-04-21 08:50:24
【问题描述】:
我正在使用 CKEditor 让用户输入富文本甚至嵌入图像。该内容被发送给其他用户。如何防止像 XSS 这样的恶意注入?我想我只需要清理 HTML 以删除服务器端所有可能的脚本,但我找不到任何经过测试的工具来做到这一点。即使 GWT 的 SafeHTMLUtils 也不起作用,因为它修改了 HTML 太多破坏了用户预期的输入。
编辑:
我找到了一种名为 Jsoup 的消毒剂。它正是我需要的。但即使在放松模式下,它也会删除带有嵌入图像的 img 标签。
【问题讨论】: