Pagedown（WMD 编辑器）Java Sanitizer（或 OWASP xml 规则）

Question

我在客户端使用著名的 wmd-javascript 编辑器 PageDown 的重新实现（它也在 Stackoverflow 上使用）。

现在，我正在为我的服务器（运行 tomcat7）搜索 HTML 清理程序，它应该只过滤 PageDown 编辑器可以创建的 HTML 子集。

我的第一个选择是 OWASP 项目，但我没有找到 PageDown 的 xml 规则文件 - tinymce 的规则文件限制太多，因为它不包含“img”标签等。

建立自己的一套规则不仅非常痛苦，而且还给我带来了安全问题。出于这个原因，我想询问是否有 Java 类或 OWASP 规则或其他东西也已经过测试。

非常感谢您的帮助！

提前谢谢， 托马斯

Answer 1

您可以使用JSoup。
它允许您将生成的 HTML 中所需的元素列入白名单。

请参阅 jsoup_cookbook_cleaning-html_whitelist-sanitizer

Answer 2

使用 HTML Purifier、html5lib 或专门为 HTML 清理而构建的其他系统。 （既然您询问了 OWASP：好的将使用允许的标签、属性和其他语法的 OWASP 白名单。）

Answer 3

OWASP 的新 HTML Sanitizer 不需要您在XML 配置语言。

它附带预可以联合在一起的打包策略，如果您想要执行自定义策略，则可以在 Java 代码中执行此操作。