请问如何过滤html中的危险标签？

水木社区手机版

主题:请问如何过滤html中的危险标签？
楼主|kobe2000|2010-08-26 16:54:59|只看此ID
比如过滤掉会被执行的javascript代码，过滤掉<object之类的标签
有比较稳妥的方案么？
--
FROM 123.127.65.*
1楼|meixr|2010-08-26 18:05:03|只看此ID
正则

【在 kobe2000 (老天爷饿不死瞎家雀儿) 的大作中提到: 】
: 比如过滤掉会被执行的javascript代码，过滤掉<object之类的标签
: 有比较稳妥的方案么？
--
FROM 210.42.123.*
2楼|NIGHTFIRE|2010-08-26 18:13:41|只看此ID
你要在后台做么？解析dom有很多库啊

【在 kobe2000 (老天爷饿不死瞎家雀儿) 的大作中提到: 】
: 比如过滤掉会被执行的javascript代码，过滤掉<object之类的标签
: 有比较稳妥的方案么？
--
修改:NIGHTFIRE FROM 159.226.43.*
FROM 159.226.43.*
3楼|kobe2000|2010-08-27 08:50:54|只看此ID
最后这样做了
首先要求文本必须符合xml规范

Set<String> dangerTags = new HashSet<String>(Arrays.asList(
            "applet",
            "body",
            "embed",
            "frame",
            "script",
            "frameset",
            "html",
            "iframe",
            "style",
            "layer",
            "link",
            "ilayer",
            "meta",
            "object"
    ));
不允许上述标签
不允许onxxx属性
不允许a标签的href属性和img标签的src属性以javascript:打头

还有别的需要注意的么？
【在 NIGHTFIRE (昵称不告诉你们) 的大作中提到: 】
: 你要在后台做么？解析dom有很多库啊
--
FROM 123.127.65.*