【发布时间】:2011-03-27 17:06:22
【问题描述】:
溢出堆栈,
我有一个 Java Web 应用程序 (tomcat),我允许用户通过表单上传 HTML 代码。
现在,由于我在 tomcat 上运行并且我实际上显示了用户上传的 HTML,我不希望用户对 JSP 标记/scriptlet/EL 进行恶意编码,并在服务器上执行这些代码。我想过滤掉任何 JSP/非 HTML 内容。
自己编写解析器似乎太繁重了——除了需要处理的许多细微之处(cmets、脚本的字节表示等)。
你知道有什么 API/库可以为我做这件事吗?我知道 Caja 过滤,但正在寻找专门针对 JSP 的东西。
非常感谢, JP,马耳他。
【问题讨论】: