Мы позволяем пользователям создавать богатый контент с помощью TinyMCE, включая Javascript и CSS. Однако, когда контент достигает сервера (Java), мы хотим отфильтровать весь код XSS или потенциально вредоносный код, такие как document.cookie, eval и т. Д., Независимо от того, находятся ли они в CSS, встроенном JS, XSS Javascript, созданном с использованием текстовой строки ( например, document.write) и т. д. Все остальное, например. изменение цвета при наведении указателя мыши, установка градиента на CSS и т. д. в порядке.
Мы хотим предоставить нашим пользователям гибкость, но в то же время хотим обеспечить безопасность пользователей. Мы исследовали такие библиотеки, как HTML Purifier, jSoup, но они не кажутся достаточно умными, чтобы отличить потенциально вредоносный JS от безопасного. Нам интересно, есть ли способ сделать это?
Спасибо.