Pagedown(WMD-Editor)Java Sanitizer(或 OWASP xml 规则)

【问题标题】:Pagedown (WMD-Editor) Java Sanitizer (or OWASP xml rules)Pagedown(WMD-Editor)Java Sanitizer(或 OWASP xml 规则)
【发布时间】:2011-11-23 00:37:26
【问题描述】:

我正在客户端使用著名的 wmd-javascript 编辑器 PageDown 的重新实现(也用于 Stackoverflow)。

现在,我正在为我的服务器(运行 tomcat7)搜索一个 HTML sanitizer,它应该只过滤 PageDown 编辑器可以创建的 HTML 子集。

我的第一选择是 OWASP 项目,但我没有找到 PageDown 的 xml 规则文件 - tinymce 的规则文件过于严格,因为它不包括例如一个“img”标签。

建立自己的规则集不仅非常痛苦,而且还让我担心安全问题。出于这个原因,我想问一下是否有 Java 类或 OWASP 规则或其他已经过测试的东西。

非常感谢您的帮助!

提前谢谢, 托马斯

【问题讨论】:

    标签: java html markdown wmd owasp


    【解决方案1】:

    OWASP's new HTML Sanitizer 不要求您以 XML 配置语言维护规则。

    它带有可以联合在一起的pre-packaged 策略,如果你想做一个自定义策略,你可以在 Java 代码中实现。

    【讨论】:

      【解决方案2】:

      使用 HTML Purifier、html5lib 或其他专门为 HTML 清理而构建的系统。 (既然你问过 OWASP:好的会使用 OWASP 白名单中允许的标签、属性和其他语法。)

      【讨论】:

        【解决方案3】:

        您可以使用JSoup
        它允许您在生成的HTML 中将您想要的元素列入白名单。

        jsoup_cookbook_cleaning-html_whitelist-sanitizer

        【讨论】:

          猜你喜欢
          • 2012-07-07
          • 2017-04-09
          • 2014-08-03
          • 1970-01-01
          • 2011-01-10
          • 1970-01-01
          • 2013-04-08
          • 2015-05-06
          • 2015-12-27
          相关资源
          最近更新 更多
          热门标签
          Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode