-2
在我们的应用程序中,最终用户提供了一个文本框,他们可以粘贴html或javascript代码来创建非常像Google广告的广告,所以我需要验证这些html和js源代码是否符合恶意代码以及正确的语法。 那么在java中有没有可用的API来做同样的事情?如何验证JavaScript和HTML代码?
在此先感谢 阿里。
A
回答
0
验证JS 客户端仅对您的好用户有用 - 因为无论如何恶意用户可以绕过任何客户端验证代码(通过与应该进行验证的JS进行混淆)。
验证JS 服务器端寻找“恶意”在一般意义上是不可能的,除非你有一个非常严格的白名单来检查。最好在沙盒中执行防止坏事的东西,并避免验证(=在执行前检查有效性)。
所以,JavaScript沙盒。最常用的可能是Google Caja - 也可以防止错误的html/css。沙盒并不容易 - 特别是,Caja需要一个服务器端部分来“哄骗”文件并保护主页;并且需要在预先标识的地方标识div之外的主页的任何部分。
另请参见另一个SO问题的一些alternatives。请注意,他们中的许多人不允许从受保护的代码访问DOM,因此对于实际上必须在屏幕上显示内容的JS没有用处。
0
如果您搜索它,您可以在Internet上找到很多来源。这里有几个:Java Encoder Project和Java HTML Sanitizer。我从来没有使用过它们,但这是一个起点。如果你自己做研究,你可以学到很多东西。
编辑:目前还不清楚您是否在寻找Java API或JavaScript API。他们完全不同。
相关问题
- 1. HTML/Javascript代码不会验证表单
- 2. 验证JavaScript代码
- 3. 纯JavaScript/jQuery/HTML验证码
- 4. Html和javascript输入验证
- 5. JavaScript和HTML表单验证
- 6. 如何构建和验证基于JavaScript的普通代码库?
- 7. 验证码未接受Javascript代码(JSHint)
- 8. Javascript验证码
- 9. 验证html颜色代码JS
- 10. 验证gmail的HTML代码的方法?
- 11. 你如何将JavaScript代码和html代码结合在一起?
- 12. Javascript代码和HTML标记
- 13. HTML和JavaScript代码审查
- 14. emailid和密码验证的简单javascript代码
- 15. HTTP基本验证的纯JavaScript代码?
- 16. 日期验证伪代码的JavaScript
- 17. 这段代码如何验证校验和?
- 18. 如何插入验证代码的HTML标准的贝宝
- 19. 如何使youtube嵌入代码HTML对w3c验证器有效?
- 20. 如何在此HTML文件中验证此工作代码?
- 21. 如何在我的HTML代码正确验证电子邮件地址和密码在Javascript
- 22. 在JavaScript和HTML中输入验证
- 23. 获取HTML源代码,包括javascript和身份验证的结果
- 24. 密码验证 - Javascript
- 25. Javascript密码验证
- 26. Emacs代码验证
- 27. 如何使Google+ JavaScript代码通过W3C验证
- 28. 如何验证JavaScript代码在C#中有效
- 29. 如何验证JavaScript?
- 30. 如何验证UPC或EAN代码?
确实没有任何确定的方法来验证原始HTML/Javascript。 – Marie
显示您的研究。 – moffeltje
对于html代码验证Jtidy可以使用,但对于Javascript代码验证和恶意代码我无法找到任何东西。 –