- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我需要整理 Web 应用程序中的用户输入,以便删除某些 HTML 标签并将 < 编码为 > 等。
我已经制作了几个简单的 util 方法来剥离 HTML,但我发现自己在应用程序中的任何地方都添加了这些方法。
是否有更智能的方法来整理用户输入?例如。在绑定(bind)过程中,或者以某种方式作为过滤器?
我见过 JTidy 可以充当 servlet 过滤器,但我不确定这是否是我想要的,因为我需要清理用户输入,而不是 JSP 的输出。
来自 JTidy 的主页:
It can be used as a tool for cleaning up malformed and faulty HTML generated by your dynamic web application.
It can Validate HTML without changing the output and generate warnings for each page so you could identify JSP or Servlet that need to be fixed.
It can save you hours of time. The more HTML you write in JSP or Servlets, the more time you will save. Don't waste time manually looking for problems, figuring out why your HTML doesn't display like it should.
In addition to JTidy validation you could submit dynamically generated pages to online HTML validators for example W3C Markup Validation Service, WAVE Accessibility Tool or WDG HTML Validator even if you are behind the firewall.
最佳答案
I find myself adding these EVERYWHERE in my application.
真的吗? 许多用户输入接受 HTML 是不寻常的。大多数输入应该是纯文本,这样当用户输入 <
时他们实际上得到一个小于号,而不是一个(可能整理/过滤掉)标签。这需要在输出阶段进行 HTML 编码。通常,您可以从 <c:out>
获得该信息。标签。
(遗憾的是,JSTL 之前的老式 JSP 没有提供 HTML 编码器,因此,如果由于某种原因您正在使用这种编码器,则必须提供由字符串替换构建的自己的 HTML 编码方法,或者使用包含该编码器的众多第三方工具之一。)
对于通常很少有的“富文本”字段,有意接受用户提供的 HTML,您应该对它们进行严格过滤,以防止来自标记的 JavaScript 注入(inject)。这是一项艰巨的工作! “几个剥离 HTML 的简单 util 方法”不太可能正确且安全地完成此操作。
正确的方法是将输入的 HTML 解析为 DOM;遍历它,检查是否仅使用已知安全的元素和属性名称;然后将其序列化回格式正确的 [X]HTML。有很多工具可以做到这一点,是的,jTidy 就是其中之一。您可以使用方法 Tidy.parseDOM
在输入字段值上,使用 removeChild
从生成的 DOM 中删除不需要的项目和removeAttribute
,然后使用 pprint
重新序列化.
基于 HTML 的富文本的一个很好的替代方案是为用户提供一种更简单的文本标记形式,然后您可以将其转换为已知安全的 HTML 标记。就像我现在正在输入的这个文本框一样。
关于java - 清理 Spring Web 应用程序中不需要的 HTML 中的用户输入,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3403816/
在为 Web 应用程序用例图建模时,为用户可以拥有的每个角色创建一个角色是否更好?或拥有一个角色、用户和一个具有特权的矩阵? guest < 用户 < 版主 < 管理员 1: guest 、用户、版主
我无法使用 Elixir 连接到 Postgres: ** (Mix) The database for PhoenixChat.Repo couldn't be created: FATAL 28P
这个问题已经有答案了: Group by field name in Java (7 个回答) 已关闭 7 年前。 我必须编写一个需要 List 的方法并返回 Map> . User包含 Person
感谢您的帮助,首先我将显示代码: $dotaz = "Select * from customers JOIN contracts where customers.user_id ='".$_SESS
我只想向所有用户中的一个用户显示一个按钮。我尝试了 orderByKey() 但没有成功! 用户模型有 id 成员,我尝试使用 orderByChild("id") 但结果相同! 我什至尝试了以下技巧
我们在工作中从 MongoDB 切换到 Postgres,我正在建立一个 BDR 组。 在这一步,我正在考虑安全性并尽可能锁定。因此,我希望设置一个 replication 用户(角色)并让 BDR
export class UserListComponent implements OnInit{ users; constructor(private userService: UserS
我可以使用 Sonata User Bundle 将 FOS 包集成到 sonata Admin 包中。我的登录功能正常。现在我想添加 FOSUserBundle 中的更改密码等功能到 sonata
在 LinkedIn 中创建新应用程序时,我得到 4 个单独的代码: API key 秘钥 OAuth 用户 token OAuth 用户密码 我在 OAuth 流程中使用前两个。 的目的是什么?最后
所以..我几乎解决了所有问题。但现在我要处理另一个问题。我使用了这个连接字符串: SqlConnection con = new SqlConnection(@"Data Source=.\SQLEX
我有一组“用户”和一组“订单”。我想列出每个 user_id 的所有 order_id。 var users = { 0: { user_id: 111, us
我已经为我的Django应用创建了一个用户模型 class User(Model): """ The Authentication model. This contains the u
我被这个问题困住了,找不到解决方案。寻找一些方向。我正在用 laravel 开发一个新的项目,目前正致力于用户认证。我正在使用 Laravels 5.8 身份验证模块。 对密码恢复 View 做了一些
安装后我正在使用ansible配置几台计算机。 为此,我在机器上本地运行 ansible。安装中的“主要”用户通常具有不同的名称。我想将该用户用于诸如 become_user 之类的变量. “主要”用
我正在尝试制作一个运行 syncdb 的批处理文件来创建一个数据库文件,然后使用用户名“admin”和密码“admin”创建一个 super 用户。 到目前为止我的代码: python manage.
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
我已在 Azure 数据库服务器上设置异地复制。 服务器上运行的数据库之一具有我通过 SSMS 创建的登录名和用户: https://learn.microsoft.com/en-us/azure/s
我有一个 ionic 2 应用程序,正在使用 native FB Login 来检索名称/图片并将其保存到 NativeStorage。流程是我打开WelcomePage、登录并保存数据。从那里,na
这是我的用户身份验证方法: def user_login(request): if request.method == 'POST': username = request.P
我试图获取来自特定用户的所有推文,但是当我迭代在模板中抛出推文时,我得到“User”对象不可迭代 观看次数 tweets = User.objects.get(username__iexact='us
我是一名优秀的程序员,十分优秀!