https://github.com/OWASP/java-html-sanitizer est maintenant marqué prêt à l'emploi de la production.
Un assainisseur HTML rapide et facile à configurer écrit en Java qui vous permet d'inclure du HTML créé par des tiers dans votre application Web tout en protégeant contre XSS.
Vous pouvez utiliser prepackaged policies
Sanitizers.FORMATTING.and(Sanitizers.LINKS)
ou tests montrer comment vous pouvez configurer votre propre facilement:
new HtmlPolicyBuilder()
.allowElements("a")
.allowUrlProtocols("https")
.allowAttributes("href").onElements("a")
.requireRelNofollowOnLinks()
ou écrire des stratégies personnalisées pour faire des choses comme changer h1
s à div
s avec une certaine classe:
new HtmlPolicyBuilder()
.allowElements("h1", "p")
.allowElements(
new ElementPolicy() {
public String apply(String elementName, List<String> attrs) {
attrs.add("class");
attrs.add("header-" + elementName);
return "div";
}
}, "h1"))
Oui idd, JTidy me aider. Merci d'avoir partagé. – onigunn