如何防止java中的javascript注入

Question

我有一个富文本区域，用户可以在其中输入内容。我正在尝试使用以下正则表达式来防止 JavaScript 注入：

return input == null ? null : input.replaceAll("(?i)<script.*?>.*?</script.*?>", "") // case 1
            .replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "") // case 2
            .replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", ""); // case 3

上面，input 是来自富文本区域的文本，我正在使用这个正则表达式来避免可能的 JavaScript 注入。

问题是案例3。如果用户的文本包含"on"，则"on"之前的所有文本都会被删除。

我怎样才能使最后一种情况更严格，避免上述问题？

Answer 1

如果你想删除 "on" 和标签末尾的所有内容，你可以使用这个： .replaceAll("(?i)(<.>?\s+)on.?(>.*?)", "$1$2");

这会将“ACD”呈现为“ACD”。但是请注意，如果有人在脚本中放置了一个“>”字符，它会弄乱正则表达式...

编辑：我的评论的寓意是我不建议使用自定义解析来删除 javascript 代码。我建议您熟悉以下问题的答案：Java: Best way to remove Javascript from HTML 并可能使用 Jsoup.clean（如果在您的环境中可能的话）。