V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wysnylc
V2EX  ›  问与答

Spring MVC 框架 XSS 和富文本的纠结

  •  
  •   wysnylc · 2016-06-28 11:17:56 +08:00 · 2267 次点击
    这是一个创建于 3100 天前的主题,其中的信息可能已经有所发展或是发生改变。

    使用 HtmlUtils.htmlEscape(value);会把& <> ' "符号编程 Unicode 编码使 XSS 失效,应该说是任何用户输入的 HTML 和 js 都失效,这样可以完美的防止 XSS 。
    但是问题来了,在富文本中用户会使用编辑器编辑文本加入 HTML 标签,但是由于<>等已经被过滤转义那么所有的 HTML 标签都会挂掉。
    不知道大家明白我的问题了吗,求一个解决方案蟹蟹

    4 条回复    2018-10-24 10:25:27 +08:00
    smilezino
        1
    smilezino  
       2016-06-28 11:26:27 +08:00   ❤️ 1
    用 jsoup 过滤
    针对图片地址再做一次代理
    wysnylc
        2
    wysnylc  
    OP
       2016-06-28 11:36:43 +08:00   ❤️ 1
    @smilezino 十分感谢,世界需要你这样的英雄。
    lidream
        3
    lidream  
       2018-10-23 16:14:27 +08:00
    您好,我的 filter 把后台的富文本编辑器也过滤了,请问用您是怎么用 jsoup 解决的?可不可以让我参考一下。
    wysnylc
        4
    wysnylc  
    OP
       2018-10-24 10:25:27 +08:00
    @lidream #3 白名单或者设置过滤级别.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1725 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:29 · PVG 00:29 · LAX 08:29 · JFK 11:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.