下頁（WMD-編輯器）的Java液（或OWASP XML規則）

Question

我使用的客戶端上的著名的大規模殺傷性武器的JavaScript編輯器下頁（也使用＃2）的重新實現。

現在，我在尋找一個HTML消毒劑對我的服務器（運行tomcat7），它應該只篩選HTML的子集，該PageDown鍵編輯器可以創建。

我的第一選擇是OWASP項目，但我沒有發現一個PageDown鍵XML規則文件 - 規則的文件TinyMCE的太嚴格，因爲它沒有包括，例如，一個「img」標籤。

建設自己的一套規則不僅是相當痛苦的，它給我的安全問題。出於這個原因，我想問一下是否有Java類或OWASP規則或其他外部已經測試過的東西。

幫助將不勝感激！

Thx提前， 托馬斯

Answer 1

您可以使用JSoup。
它允許您在生成的HTML白名單中您想要的元素。

見jsoup_cookbook_cleaning-html_whitelist-sanitizer

Answer 2

使用HTML過濾，html5lib，或其他專門爲HTML清理構建系統。 （自從您問到OWASP：好的將使用允許的標記，屬性和其他語法的OWASP白名單。）

Answer 3

OWASP's new HTML Sanitizer不需要您維護XML配置語言中的規則。

它與pre-packaged政策可以聯合在一起，如果你想做一個自定義策略，你可以在Java代碼中做到這一點。