Szukam klasy/utylizacji itp. W celu odkażenia kodu HTML, tj. Usunięcia niebezpiecznych znaczników, atrybutów i wartości, aby uniknąć XSS i podobnych ataków.Jak odkażać kod HTML w Javie, aby zapobiec atakom XSS?
Otrzymuję kod html z edytora tekstu formatowanego (np. TinyMCE), ale można go wysłać złośliwie, zastępując sprawdzanie TinyMCE ("Dane przesłane poza formularzem").
Czy jest coś tak prostego w użyciu jak InputFilter w PHP? Idealne rozwiązanie mogę sobie wyobrazić, jak to działa (zakładamy Sanitizer jest zamknięty w klasie HtmlSanitizer):
String unsanitized = "...<...>..."; // some potentially
// dangerous html here on input
HtmlSanitizer sat = new HtmlSanitizer(); // sanitizer util class created
String sanitized = sat.sanitize(unsanitized); // voila - sanitized is safe...
Aktualizacja - prostsze rozwiązanie, tym lepiej! Niewielka klasa użytkowa z tak niewielkimi zewnętrznymi zależnościami od innych bibliotek/frameworków, jak to możliwe - byłaby dla mnie najlepsza.
Co z tym?
Zasadniczo chcesz, aby klienci mogli przesyłać formularze, które są następnie wyświetlane w formacie fx. księga gości? Czy chcesz, aby były w stanie używać html, ale nadal chcesz blokować szkodliwe próby hakowania przez użytkowników? Czy też się tu nie myliłem ...? – Latze
@ Latze: Chcę, aby klienci (użytkownicy za pośrednictwem ich przeglądarek) przesyłali treści richtext (format html za pomocą edytora tekstu formatowanego - TinyMCE), ale aby sprawdzić i usunąć potencjalnie niebezpieczne (niebezpieczne) treści. Nie wiem, co to jest fx i księga gości, o której wspominasz w tym kontekście. – WildWezyr
Ah! Dam mu szansę, daj mi kilka minut – Latze