Ale ja nechci escapovat XML (a na to bych pouzil nejakou lepsi knihovnu, treba OWASP ESAPI). Ja opravdu chci filtrovat HTML, ktere uzivatel zadava pres Rich Text HTML editor (je tam moznost primo editovat zdrojak) nebo ho do systemu muze nacpat rovnou pres REST. A toto HTML chci pak zpetne zobrazit jakozto HTML, tak aby prohlizec spravne interpretoval tagy. Jen chci z toho HTML vyfiltrovat nebezpecne konstrukce.
Lukas 2011/8/16 Ondra Medek <xmed...@gmail.com> > Ahoj, > > proti XSS ze lze zajistit 1. na vstupu a/nebo 2. na vystupu. Ty hledas > nastroj pro 1., coz muze byt slozita uloha, ale na druhou stranu mas > velkou jistotu, ze zobrazeni dat je bezpecne. Lze ovsem vstup od > uzivatele nechat byt, a osetrit text na vystupu - pouze prevezt par > znaku (<>"&\) na XML/HTML entity. Coz je jednoducha uloha, avsak si > musis byt jist, ze to provedes vzdy. Pokud se chces podivat na tetno > pripad, tak treba viz > https://github.com/zkoss/zk/blob/master/zcommon/src/org/zkoss/xml/XMLs.java > metoda escapeXML. > > 2011/8/15 Lukas Barton <lu...@cnawr.cz>: > > Ahoj, > > ve webaplikaci ma moznost uzivatel zadat HTML pomoci Rich Text HTML > editoru > > TinyMCE. > > Toho HTML ma moznost editovat i rucne. Zaroven pres REST muze na server > > nahrat v podstate jakekoliv HTML. > > Aplikace potom toto HTML zobrazuje ve strance uzivatelum. > > Hledal jsem tedy nejakou knihovnu, ktera by toto HTML procistila na > > prijatelnou podmnozinu. > > Nasel jsem http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizera > > https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project. > > Bohuzel se mi nepodarilo najit jake jsou s tema knihovnama zkusenosti. > > Zaroven mi neprijdou jako moc zive projekty. > > Jakou knihovnu pouzivate na cisteni HTML zadaneho uzivatelem? > > Diky, > > Lukas > > > > -- > Ondra Medek >
