Как санировать HTML-код в Java, чтобы предотвратить атаки XSS?
Я ищу class / util и т. Д. Для дезинфекции HTML-кода, то есть удаления опасных тегов, атрибутов и значений, чтобы избежать XSS и подобных атак.
Я получаю HTML-код из текстового редактора (например, TinyMCE), но его можно отправлять злонамеренно, пропуская проверку TinyMCE («Данные отправлены с сайта»).
Есть ли что-нибудь простое в использовании в качестве InputFilter в PHP? Идеальное решение, которое я могу себе представить, работает следующим образом (предположим, что sanitizer инкапсулирован в класс HtmlSanitizer):
String unsanitized = "...<...>..."; // some potentially
// dangerous html here on input
HtmlSanitizer sat = new HtmlSanitizer(); // sanitizer util class created
String sanitized = sat.sanitize(unsanitized); // voila - sanitized is safe...
Обновить - чем проще решение, тем лучше! Небольшой класс утилит с как можно меньшим количеством внешних зависимостей от других библиотек / фреймворков - лучше для меня.
Как насчет этого?