我有一个textarea,我想支持一些最简单的格式化发布数据(至少,空格和换行符).
我怎样才能做到这一点?如果我不会逃避响应并保留一些html标签,那么它将是一个很大的安全漏洞.但我没有看到任何其他解决方案允许在浏览器中进行文本格式化.
所以,我可能应该过滤用户的输入.但是我怎么能这样做呢?有没有现成的解决方案?我正在使用JSF所以有没有任何智能组件可以过滤掉除html标签之外的所有内容?
使用HTML解析器支持对像Jsoup这样的白名单进行HTML过滤.以下是其网站的相关摘录.
清理不受信任的HTML
问题
您希望允许不受信任的用户为您网站上的输出提供HTML(例如,作为评论提交).您需要清理此HTML以避免跨站点脚本(XSS)攻击.
解
将jsoup HTML
Cleaner与a指定的配置一起使用Whitelist.Run Code Online (Sandbox Code Playgroud)String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>"; String safe = Jsoup.clean(unsafe, Whitelist.basic()); // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>
然后在保留空格的情况下显示它,white-space: pre-wrap;在要显示它的HTML元素上应用CSS .
没有一体化的JSF组件浮现在脑海中.
| 归档时间: |
|
| 查看次数: |
1643 次 |
| 最近记录: |