如何实现用户以安全的方式发布一些 html 格式的数据的可能性？

2023-12-22

我有一个textarea我想支持发布数据的一些最简单的格式（至少是空格和换行符）。

我怎样才能实现这个目标？如果我不逃避响应并保留一些 html 标签，那么这将是一个很大的安全漏洞。但我没有看到任何其他允许在浏览器中进行文本格式化的解决方案。

所以，我可能应该过滤用户的输入。但我该怎么做呢？有现成的解决方案吗？我正在使用 JSF，那么是否有任何智能组件可以过滤除 html 标签之外的所有内容？

使用支持针对白名单的 HTML 过滤的 HTML 解析器，例如Jsoup http://jsoup.org。这是相关性的摘录its site http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer.

清理不受信任的 HTML http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

Problem

您希望允许不受信任的用户提供 HTML 以在您的网站上输出（例如作为评论提交）。您需要清理此 HTML 以避免跨站脚本 http://en.wikipedia.org/wiki/Cross-site_scripting(XSS) 攻击。

Solution

使用 jsoup HTMLCleaner http://jsoup.org/apidocs/org/jsoup/safety/Cleaner.html具有指定的配置Whitelist http://jsoup.org/apidocs/org/jsoup/safety/Whitelist.html.
String unsafe = 
      "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
      // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

然后要在保留空白的情况下显示它，请应用 CSSwhite-space: pre-wrap;在您显示它的 HTML 元素上。

我的脑海中没有想到任何一体化的 JSF 组件。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

security

Jsf

如何实现用户以安全的方式发布一些 html 格式的数据的可能性？的相关文章

Eclipse 在源代码管理中保存操作

我们希望找到一种在签入之前执行代码标准的轻量级方法我们真的很喜欢使用 Eclipse 内置的想法保存操作 go to Preferences gt gt Java gt gt Editor gt gt Save Actions 其中有
Hibernate注解放置问题

我有一个我认为很简单的问题我见过两种方式的例子问题是为什么我不能将注释放在字段上让我举一个例子 Entity Table name widget public class Widget private Integer id Id G
在文本文件中写入多行（java）

下面的代码是运行命令cmd并使用命令行的输出生成一个文本文件下面的代码在 Eclipse 的输出窗口中显示了正确的信息但在文本文件中只打印了最后一行谁能帮我这个 import java io public class TextFile
SAML 服务提供商 Spring Security

当使用预先配置的服务提供者元数据时在 Spring Security 中是否应该有 2 个用于扩展元数据委托的 bean 定义一份用于 IDP 元数据一份用于 SP 元数据
Java AES 128 加密方式与 openssl 不同

我们遇到了一种奇怪的情况即我们在 Java 中使用的加密方法会向 openssl 生成不同的输出尽管它们在配置上看起来相同使用相同的键和 IV 文本敏捷的棕色狐狸跳过了懒狗加密为 Base64 字符串 openssl A8cMRI
如何安全地解决这个 Java 上下文类加载器问题？

我的数百名用户中只有一位在启动我的 Java 桌面应用程序时遇到问题他只有大约三分之一的时间开始另外三分之二的时间在启动时抛出 NullPointerException Exception in thread AWT EventQueu
我需要什么库才能在 Java 中访问这个 com.sun.image.codec.jpeg？

我正在用java创建一个图像水印程序并导入了以下内容 import com sun image codec jpeg JPEGCodec import com sun image codec jpeg JPEGEncodeParam im
Hibernate.createBlob() 方法从 Hibernate 4.0.1 开始已弃用，并移至 Hibernate.getLobCreator(Session session).createBlob()

Method Hibernate createBlob 已弃用自休眠4 0 1并搬到Hibernate getLobCreator Session session createBlob 任何解决方案我应该在方法内传递什么getLobCrea
我可以使用子接口重新编译公共 API 并保持二进制兼容性吗？

我有一个公共 API 在多个项目中多次使用 public interface Process
使用 AES SecretKey 的 Java KeyStore setEntry()

我目前正在 Java 中开发一个密钥处理类特别是使用 KeyStore 我正在尝试使用 AES 实例生成 SecretKey 然后使用 setEntry 方法将其放入 KeyStore 中我已经包含了代码的相关部分 The KS Obj
Java 文件上传速度非常慢

我构建了一个小型服务它从 Android 设备接收图像并将其保存到 Amazon S3 存储桶中代码非常简单但是速度非常慢事情是这样的 public synchronized static Response postCommentP
Java 8 流 - 合并共享相同 ID 的对象集合

我有一系列发票 class Invoice int month BigDecimal amount 我想合并这些发票这样我每个月都会收到一张发票金额是本月发票金额的总和例如 invoice 1 month 1 amount 1000
如何在 Java 中测试一个类是否正确实现了 Serialized（不仅仅是 Serialized 的实例）

我正在实现一个可序列化的类因此它是一个与 RMI 一起使用的值对象但我需要测试一下有没有办法轻松做到这一点澄清我正在实现该类因此在类定义中添加 Serialized 很简单我需要手动序列化反序列化它以查看它是否有效我找到了
有没有一种快速方法可以从 Jar/war 中删除文件，而无需提取 jar 并重新创建它？

所以我需要从 jar war 文件中删除一个文件我希望有类似 jar d myjar jar file I donot need txt 的内容但现在我能看到从 Linux 命令行执行此操作的唯一方法不使用 WinRAR Winzip
如何知道抛出了哪个异常

我正在对我们的代码库进行审查有很多这样的陈述 try doSomething catch Exception e 但我想要一种方法来知道 doSomething 抛出了哪个异常在 doSomething 的实现中没有 throw 语句
游戏内的java.awt.Robot？

我正在尝试使用下面的代码来模拟击键当我打开记事本时它工作正常但当我打开我想使用它的游戏时它没有执行任何操作所以按键似乎不起作用我尝试模拟鼠标移动和点击这些动作确实有效有谁知道如何解决这个问题我发现这个问题如何在游戏中使用
为什么C++代码执行速度比java慢？

我最近用 Java 编写了一个计算密集型算法然后将其翻译为 C 令我惊讶的是 C 的执行速度要慢得多我现在已经编写了一个更短的 Java 测试程序和一个相应的 C 程序见下文我的原始代码具有大量数组访问功能测试代码也是如此 C 的
带有 Maven Wrapper 的 Java 17 导致无法识别的 VM 选项“MaxPermSize=512m”

I use OpenJDK 17 https jdk java net 17 使用 Maven Wrapper 3 8 2 从春季初始化 https start spring io Maven项目 JAR打包 Java 17 Spring
PrimeFaces 对话框参考父级

我有一个 xhtml 页面显示带有条目的数据表我还有一个用于插入新条目的按钮该按钮显示一个包含表单的对话框插入表格用作
GUI Java 程序 - 绘图程序

我一直试图找出我的代码有什么问题这个想法是创建一个小的 Paint 程序并具有红色绿色蓝色和透明按钮我拥有我能想到的让它工作的一切但无法弄清楚代码有什么问题该程序打开然后立即关闭 import java awt import

随机推荐

从 Bash shell 脚本发送邮件

我正在写一个Bash http en wikipedia org wiki Bash 28Unix shell 29Mac 的 shell 脚本通过打开自动应用程序发送电子邮件通知该自动应用程序使用 Mail app 中的默认邮件帐户发
将模块包含到项目后出现“不受支持的类文件版本 52.0”

在 Android Studio 中创建一个空项目并包含一个纯 java 模块该模块可以自行编译并完美运行后我在该模块中的每个类上都收到以下错误 Error PARSE ERROR Error unsupported class fi
使用 HTML5 拖放，有没有一种方法可以在保持拖放流的同时从视图中隐藏元素

我正在努力通过创建一个指示器拖动元素的轮廓来改进拖放实现当您在网格中拖动和移动时该指示器沿着设置的柔性网格移动在当前的实现中拖动的元素就位当我放在放置目标上时它会更新弹性顺序我想要做的是完全隐藏元素以便更好地视觉提示元素
Oracle（空间几何）查询的问题

我正在尝试使用 SDO WITHIN DISTANCE 形成一个查询返回给定矩形内的实体列表我所做的查询似乎应该有效但 Oracle 给了我一些奇怪的错误这是查询 SELECT FROM TBLENTITYLOCATION TL I
使对象的属性可迭代

我返回一个包含具有多个属性的对象的列表如下所示 results q fetch 5 for p in results print s s d inches tall p first name p last name p height 是否
Xcode 错误：Outlet 无法连接到重复内容

经过一些搜索和编辑后我似乎找不到解决此错误的解决方案我正在尝试将位置搜索结果与表格链接起来以列表形式显示搜索结果我的地图上有详细信息按钮该按钮与名为 FirstViewController 的 UIViewController 链
Google Native Client，将二进制数据从 NACL 发送到前端

如何发送二进制数据例如mp3 mp4数据返回前端我知道有两种方法可以做到这一点利用NACL提供的沙箱文件系统并在前端获取url 将数据通过PostMessage using VarArrayBuffer 如果有人能给我一个如何传递二进
数据流程图和流程图有什么区别？

我想知道为什么我们使用数据流程图而不是流程图流程图详细说明了流程跟随 DFD 详细说明了流程data通过一个系统在流程图中箭头表示元素之间的控制而不是数据转移元素是指令或决策或I O等在 DFD 中箭头实际上是元素之间的数
QImage 在 PNG 中设置 alpha 透明度

我正在尝试在另一个图像上绘制图像并且该部分有效但在绘制覆盖图像之前我想降低它的不透明度这就是我遇到麻烦的地方我的叠加图像是PNG的它们本身有透明区域否则它们的内容是黑色的在 Qt 中我循环遍历每个像素但无法确定像素是否透明
下拉值未使用 ajax 传递到控制器

我需要使用 ajax 将下拉列表中的值传递到控制器但显然这不起作用该值显示为空我需要传递的值 kodeCabang到控制器我该如何做这份工作 HTML代码如下 div class dropdown div
具有多种形式的 Django-TinyMCE

我正在尝试创建一个包含多个 TinyMCE 编辑器实例的 HTML 页面编辑的数量根据要求而变化所以我无法枚举它们并单独初始化它们这是我的代码视图 py from tinymce widgets import TinyMCE cla
将 ASP.NET vNext 应用程序部署到 Azure 云服务

是否可以将 ASP NET vNext Web 应用程序部署到 Azure 云服务如果是那么它是构建在 aspnet50 还是 aspnetcore50 框架上有什么关系吗 Azure 云服务 Visual Studio 模板即使在 2
git 无法拉取远程更改

由于以下错误我无法从远程存储库中提取更改我正在尝试从该存储库的主分支中提取数据 c supportal gt git pull error cannot lock ref refs remotes origin KANBAN unabl
Jaxb 解组不起作用

我有这个 xml 文件
如何为 iOS 分发创建 P12 证书

我们有一款 iOS 应用程序其推送通知证书已过期我们正在尝试创建一个新的证书我已在配置门户 ios developer cer ios distribution cer 中创建了新证书并下载了它们我按照指示进行在 Stack Ove
如何禁用 EditText 软件键盘上的“下一步”按钮（替换为“完成”按钮）

我的 Android 应用程序中有一堆 EditText 每个 EditText 的 InputMethod 设置为 numberSigned 我的目标设备没有硬件键盘而是使用软件键盘进行数字输入 Android 将输入框右侧的标准完成
如何在 swift 中 http 发布特殊字符

我使用以下命令将电子邮件和密码发布到我的服务器 php 脚本我遇到的问题是密码包含一个特殊字符特别是符号似乎正在被剥离我认为是因为它认为它的分隔变量被传递我怎样才能传递这个字符而不剥离它 let myURL NSURL stri
scrapyd部署显示0个蜘蛛

我正在使用 scrapy 进行项目我运行了以下命令来部署项目 scrapy deploy l 然后我得到以下o p 刮刮网站http localhost 6800 cat scrapy cfg settings default scrap
List.Contains 返回 false，尽管看起来它应该返回 true

Sub pageload Handles Me Load Dim bom As New List Of Car Dim car1 As New Car With Name Pea Year 2 Dim car2 As New Car Wit
如何实现用户以安全的方式发布一些 html 格式的数据的可能性？

我有一个textarea我想支持发布数据的一些最简单的格式至少是空格和换行符我怎样才能实现这个目标如果我不逃避响应并保留一些 html 标签那么这将是一个很大的安全漏洞但我没有看到任何其他允许在浏览器中进行文本格式化的解决方案所

如何实现用户以安全的方式发布一些 html 格式的数据的可能性？

清理不受信任的 HTML http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

Problem

Solution

如何实现用户以安全的方式发布一些 html 格式的数据的可能性？ 的相关文章

随机推荐

热门标签

如何实现用户以安全的方式发布一些 html 格式的数据的可能性？的相关文章