从HTML中删除Javascript的最佳库/方法是什么?
例如,采取:
test
然后离开:
test
我看到了DeXSS项目.但这是最好的方式吗?
JSoup有一种基于白名单清理HTML的简单方法.查看http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer
它使用白名单,这比DeXSS使用的黑名单方法更安全.从DeXSS页面:
DeXSS尚未检测到许多已知的XSS攻击.
黑名单只允许已知的不安全结构,而白名单只允许已知的安全结构.如此未知,可能不安全的结构只会受到白名单的保护.
京公网安备 11010802040832号 | 京ICP备19059560号-6 