Jeste ten pripad 2. ma vyhodu, ze uzivatel vidi to, co zadal. 2011/8/16 Ondra Medek <[email protected]>: > Ahoj, > > proti XSS ze lze zajistit 1. na vstupu a/nebo 2. na vystupu. Ty hledas > nastroj pro 1., coz muze byt slozita uloha, ale na druhou stranu mas > velkou jistotu, ze zobrazeni dat je bezpecne. Lze ovsem vstup od > uzivatele nechat byt, a osetrit text na vystupu - pouze prevezt par > znaku (<>"&\) na XML/HTML entity. Coz je jednoducha uloha, avsak si > musis byt jist, ze to provedes vzdy. Pokud se chces podivat na tetno > pripad, tak treba viz > https://github.com/zkoss/zk/blob/master/zcommon/src/org/zkoss/xml/XMLs.java > metoda escapeXML. > > 2011/8/15 Lukas Barton <[email protected]>: >> Ahoj, >> ve webaplikaci ma moznost uzivatel zadat HTML pomoci Rich Text HTML editoru >> TinyMCE. >> Toho HTML ma moznost editovat i rucne. Zaroven pres REST muze na server >> nahrat v podstate jakekoliv HTML. >> Aplikace potom toto HTML zobrazuje ve strance uzivatelum. >> Hledal jsem tedy nejakou knihovnu, ktera by toto HTML procistila na >> prijatelnou podmnozinu. >> Nasel jsem http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer a >> https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project. >> Bohuzel se mi nepodarilo najit jake jsou s tema knihovnama zkusenosti. >> Zaroven mi neprijdou jako moc zive projekty. >> Jakou knihovnu pouzivate na cisteni HTML zadaneho uzivatelem? >> Diky, >> Lukas > > > > -- > Ondra Medek >
-- Ondra Medek
