下页（WMD-编辑器）的Java液（或OWASP XML规则）

Question

我使用的客户端上的著名的大规模杀伤性武器的JavaScript编辑器下页（也使用＃2）的重新实现。

现在，我在寻找一个HTML消毒剂对我的服务器（运行tomcat7），它应该只筛选HTML的子集，该PageDown键编辑器可以创建。

我的第一选择是OWASP项目，但我没有发现一个PageDown键XML规则文件 - 规则的文件TinyMCE的太严格，因为它没有包括，例如，一个“img”标签。

建设自己的一套规则不仅是相当痛苦的，它给我的安全问题。出于这个原因，我想问一下是否有Java类或OWASP规则或其他外部已经测试过的东西。

帮助将不胜感激！

Thx提前， 托马斯

Answer 1

您可以使用JSoup。
它允许您在生成的HTML白名单中您想要的元素。

见jsoup_cookbook_cleaning-html_whitelist-sanitizer

Answer 2

使用HTML过滤，html5lib，或其他专门为HTML清理构建系统。 （自从您问到OWASP：好的将使用允许的标记，属性和其他语法的OWASP白名单。）

Answer 3

OWASP's new HTML Sanitizer不需要您维护XML配置语言中的规则。

它与pre-packaged政策可以联合在一起，如果你想做一个自定义策略，你可以在Java代码中做到这一点。