代码之家  ›  专栏  ›  技术社区  ›  Roman

如何实现用户以安全的方式发布一些html格式的数据?

jsf security java
  •  6
  • Roman  · 技术社区  · 14 年前

    textarea

    我怎样才能做到这一点?如果我不逃避响应并保留一些html标记,那么它将是一个巨大的安全漏洞。但我没有看到任何其他解决方案,将允许在浏览器中的文本格式。

    所以,我可能应该过滤用户的输入。但我该怎么做呢?有现成的解决方案吗?我使用的是JSF,那么有没有什么智能组件可以过滤除html标记以外的所有内容呢?

    2 回复  |  直到 14 年前
        1
  •  8
  •   BalusC    10 年前

    使用HTML解析器,它支持针对白名单进行HTML过滤,比如 Jsoup . 以下是一个从 its site .

    Sanitize untrusted HTML

    您希望允许不受信任的用户在您的网站上为输出提供HTML(例如作为评论提交)。你需要清理这个HTML以避免 cross-site scripting (XSS)攻击。

    使用jsoup HTML Cleaner Whitelist . 

    String unsafe = 
      "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
      // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

    然后使用CSS来显示它并保留空白 white-space: pre-wrap;

    没有想到一个集成的JSF组件。

        2
  •  1
  •   Dan J    14 年前

    您需要接受HTML而不是其他标记语言(比如markdown,这就是StackOverflow使用的语言)的原因吗?

    http://daringfireball.net/projects/markdown/

    不知道什么样的标签,你想接受,不会涵盖md或类似的格式化语言。。。

    推荐文章
    Farid  ·  限制django每个客户的访问
    2 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号