https://github.com/OWASP/java-html-sanitizer jest teraz oznaczone gotowy do użytku produkcyjnego.
Szybki i łatwy do skonfigurowania program do oczyszczania kodu HTML napisany w języku Java, który umożliwia dołączanie kodu HTML utworzonego przez osoby trzecie w aplikacji internetowej, jednocześnie chroniąc XSS.
Można użyć prepackaged policies
Sanitizers.FORMATTING.and(Sanitizers.LINKS)
lub tests pokazać w jaki sposób można skonfigurować własny łatwo:
new HtmlPolicyBuilder()
.allowElements("a")
.allowUrlProtocols("https")
.allowAttributes("href").onElements("a")
.requireRelNofollowOnLinks()
lub napisać własne polityki do robienia rzeczy, jak zmiana h1
s do div
s z określoną klasą:
new HtmlPolicyBuilder()
.allowElements("h1", "p")
.allowElements(
new ElementPolicy() {
public String apply(String elementName, List<String> attrs) {
attrs.add("class");
attrs.add("header-" + elementName);
return "div";
}
}, "h1"))
Tak IDD, jTidy mi pomóc tutaj. Dziękuję za udostępnienie. – onigunn