Ahoj, proti XSS ze lze zajistit 1. na vstupu a/nebo 2. na vystupu. Ty hledas nastroj pro 1., coz muze byt slozita uloha, ale na druhou stranu mas velkou jistotu, ze zobrazeni dat je bezpecne. Lze ovsem vstup od uzivatele nechat byt, a osetrit text na vystupu - pouze prevezt par znaku (<>"&\) na XML/HTML entity. Coz je jednoducha uloha, avsak si musis byt jist, ze to provedes vzdy. Pokud se chces podivat na tetno pripad, tak treba viz https://github.com/zkoss/zk/blob/master/zcommon/src/org/zkoss/xml/XMLs.java metoda escapeXML.
2011/8/15 Lukas Barton <[email protected]>: > Ahoj, > ve webaplikaci ma moznost uzivatel zadat HTML pomoci Rich Text HTML editoru > TinyMCE. > Toho HTML ma moznost editovat i rucne. Zaroven pres REST muze na server > nahrat v podstate jakekoliv HTML. > Aplikace potom toto HTML zobrazuje ve strance uzivatelum. > Hledal jsem tedy nejakou knihovnu, ktera by toto HTML procistila na > prijatelnou podmnozinu. > Nasel jsem http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer a > https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project. > Bohuzel se mi nepodarilo najit jake jsou s tema knihovnama zkusenosti. > Zaroven mi neprijdou jako moc zive projekty. > Jakou knihovnu pouzivate na cisteni HTML zadaneho uzivatelem? > Diky, > Lukas -- Ondra Medek
