OSChina 已使用 jsoup 来对帖子内容进行过滤

红薯 发布于 2010/08/05 09:58
阅读 6K+
收藏 48

OSChina 今天早上刚刚对代码进行了改造,使用 jsoup 替换原有的 Htmlparser 来对包括发帖、回帖和评论等内容进行安全过滤。

过滤的条件也比原来的要严格很多,主要是为了避免一些跨站点的脚本攻击。

如果在使用中遇见某些内容输入有误,例如某些标签或者属性被过滤掉,请告知于我,我将酌情处理。

下面是 OSChina 对输入内容进行过滤的代码:

private final static Whitelist user_content_filter = Whitelist.relaxed();
static {
	user_content_filter.addTags("embed","object","param","span","div");
	user_content_filter.addAttributes(":all", "style", "class", "id", "name");
	user_content_filter.addAttributes("object", "width", "height","classid","codebase");	
	user_content_filter.addAttributes("param", "name", "value");
	user_content_filter.addAttributes("embed", "src","quality","width","height","allowFullScreen","allowScriptAccess","flashvars","name","type","pluginspage");
}

/**
 * 对用户输入内容进行过滤
 * @param html
 * @return
 */
public static String filterUserInputContent(String html) {
	if(StringUtils.isBlank(html)) return "";
	return Jsoup.clean(html, user_content_filter);
	//return filterScriptAndStyle(html);
}

完!

加载中
1
wlli
wlli

<td>好用吗 我试试</td><td><script type=\"text/javascript\">alert(\"as;jdklfj\");</script>

<script type="text/javascript">alert("as;jdklfj");</script>

0
JavaGG
JavaGG

看起来非常好用,,回去试试

0
OTooo
OTooo

不会玩

0
JillLiu
JillLiu

谢谢,见闻了

0
Sephiroth
Sephiroth

正好我也替换一下~

0
wlli
wlli
老大  为什么 我用的时候不好用阿  有什么口诀吗?
天高空
天高空
哥 不知道 我也是拿过来当工具用
0
sam_chin
sam_chin
实验   实验
0
wartskcaj
wartskcaj
用的时候写了个Jsonp,搞半天都弄不出来,原来是Jsoup,我...
返回顶部
顶部