Sto tentando di usare jsoup per igienizzare l'html scritto da un wysiwyg nel mio client (TinyMCE come accade)jsoup modalità rilassata Whitelist troppo severo per editor WYSIWYG
La modalità rilassata non sembra essere rilassato abbastanza come impostazione predefinita, rimuove gli elementi di span e tutti gli attributi di stile.
es
String text = "<p style="color: #ff0000;">foobar</p>";
Jsoup.clean(text, Whitelist.relaxed());
sarebbe uscita
<p>foobar</p>
e
<span>foobar</span>
verrebbe eliminato del tutto.
Qualcuno ha qualche esperienza sull'uso di Jsoup per sradicare la possibilità di attacchi XSS e consente comunque di superare gli elementi e gli attributi sopra indicati?
Modifica: Sono andato con il seguente. Qualcuno potrebbe consigliare su quanto sia vulnerabile?
Jsoup.clean(pitch, Whitelist.relaxed().addTags("span").addAttributes(":all","style"));
Modifica 2: Qualcuno ha utilizzato la libreria owasp in produzione. Sembra disinfettare correttamente preservando lo stile corretto. OWASP
devi significare Jsoup.clean(), giusto? –
Saluti B. Anderson. Ho fatto la correzione. – jaseFace