Jsoup HTML 清理

1 消除不受信任的HTML (防止XSS攻擊)

在作網站的時候，常常會提供用戶評論的功能。有些不懷好意的用戶，會搞一些腳本到評論內容中，而這些腳本可能會破壞整個頁面的行爲，更嚴重的是獲取一些機要信息，此時須要清理該HTML，以免跨站腳本cross-site scripting攻擊（XSS）。 使用jsoup HTML Cleaner 方法進行清除，但須要指定一個可配置的 Whitelist。

String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
    String safe = Jsoup.clean(unsafe, Whitelist.basic());
    // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

說明： 
XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。XSS屬於被動式的攻擊，由於其被動且很差利用，因此許多人常忽略其危害性。因此咱們常常只讓用戶輸入純文本的內容，但這樣用戶體驗就比較差了。

一個更好的解決方法就是使用一個富文本編輯器WYSIWYG如CKEditor 和 TinyMCE。這些能夠輸出HTML並可以讓用戶可視化編輯。雖然他們能夠在客戶端進行校驗，可是這樣還不夠安全，須要在服務器端進行校驗並清除有害的HTML代碼，這樣才能確保輸入到你網站的HTML是安全的。不然，攻擊者可以繞過客戶端的JavaScript驗證，並注入不安全的HMTL直接進入您的網站。

jsoup的whitelist清理器可以在服務器端對用戶輸入的HTML進行過濾，只輸出一些安全的標籤和屬性。

jsoup提供了一系列的Whitelist基本配置，可以知足大多數要求；但若有必要，也能夠進行修改，不過要當心。這個cleaner很是好用不只能夠避免XSS攻擊，還能夠限制用戶能夠輸入的標籤範圍。jsoup 使用一個 Whitelist 類用來對 HTML 文檔進行過濾，該類提供幾個經常使用方法：

 

操做	含義
none()	只容許包含文本信息
basic()	容許的標籤包括：a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul, 以及合適的屬性
simpleText()	只容許 b, em, i, strong, u 這些標籤
basicWithImages()	在 basic() 的基礎上增長了圖片
relaxed()	這個過濾器容許的標籤最多，包括：a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

若是這五個過濾器都沒法知足你的要求呢，例如你容許用戶插入 flash 動畫，不要緊，Whitelist 提供擴展功能，例如 whitelist.addTags("embed","object","param","span","div"); 也可調用 addAttributes 爲某些元素增長屬性。