0
有已知的XSS攻擊,如:清理HTML風格的標籤,以防止JavaScript注入從所見即所得
<DIV STYLE="color: red; width: expression(alert('XSS')); background-image: url('expression.png') ">
或者
<DIV STYLE="background-image: url(javascript:alert('XSS')); border-image: url(images/javascript.png) 30 round round;">
或者
<META HTTP-EQUIV=Refresh CONTENT="1; URL=javascript:alert(/xxs/.source)">empty
,我需要消毒HTML這樣的:
<DIV STYLE="color: red; background-image: url('expression.png') ">
或者
<DIV STYLE="border-image: url(images/javascript.png) 30 round round;">
或者
empty
有Java庫,提供這樣的保護?
我試圖AntiSamy,它幾乎是工作,但我得到的圖書館的一個非常奇怪的現象。我創建了問題,但沒有答案了: http://stackoverflow.com/questions/19343035 我thnk你就可以知道答案,所以要求你directy = d – msangel