ken*_*ohn 4 java sql-injection tinymce
我们计划在JSP中使用TinyMce.
我们有一个标准的安全过滤器,可以跟踪表单中的输入数据.它识别不安全的代码输入,尝试任何入侵/跨站点脚本.
我的问题如下:
(我在StackOverflow中发现了一个提到PHP库的链接,但我在寻找Java中的东西.)
SQL注入应该是您在数据层中担心的问题,而不是您的前端.如果在将数据插入数据库时使用正确的技术来防止SQL注入,则不必担心使用TinyMCE或前端代码的任何其他部分执行任何操作.
另一方面,跨站脚本攻击是一个不同的故事.防止跨站点脚本攻击的最佳策略通常是对您在前端层中未生成的所有内容进行HTML编码.但是,由于您使用的是TinyMCE,我猜您希望允许用户生成的HTML出现在您的网站上.在这种情况下,您需要查找"HTML Sanitizing".
以下是一些启动您的链接:
您可以决定是否更喜欢在将HTML保存到数据库之前,在从数据库中检索HTML之后,或者两者都清理HTML.每种策略都有利弊.