wysnylc
V2EX  ›  问与答

Spring MVC 框架 XSS 和富文本的纠结

  •  
  •   wysnylc · Jun 28, 2016 · 2912 views
    This topic created in 3655 days ago, the information mentioned may be changed or developed.

    使用 HtmlUtils.htmlEscape(value);会把& <> ' "符号编程 Unicode 编码使 XSS 失效,应该说是任何用户输入的 HTML 和 js 都失效,这样可以完美的防止 XSS 。
    但是问题来了,在富文本中用户会使用编辑器编辑文本加入 HTML 标签,但是由于<>等已经被过滤转义那么所有的 HTML 标签都会挂掉。
    不知道大家明白我的问题了吗,求一个解决方案蟹蟹

    4 replies    2018-10-24 10:25:27 +08:00
    smilezino
        1
    smilezino  
       Jun 28, 2016   ❤️ 1
    用 jsoup 过滤
    针对图片地址再做一次代理
    wysnylc
        2
    wysnylc  
    OP
       Jun 28, 2016   ❤️ 1
    @smilezino 十分感谢,世界需要你这样的英雄。
    lidream
        3
    lidream  
       Oct 23, 2018
    您好,我的 filter 把后台的富文本编辑器也过滤了,请问用您是怎么用 jsoup 解决的?可不可以让我参考一下。
    wysnylc
        4
    wysnylc  
    OP
       Oct 24, 2018
    @lidream #3 白名单或者设置过滤级别.
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   5749 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 02:09 · PVG 10:09 · LAX 19:09 · JFK 22:09
    ♥ Do have faith in what you're doing.