Я использую CKEditor, чтобы пользователи могли вводить форматированный текст и даже встроенные изображения. Этот контент отправляется другим пользователям. Как я могу предотвратить любые вредоносные инъекции, такие как XSS? Я думаю, мне просто нужно очистить HTML, удалив все возможные сценарии на стороне сервера, но я не могу найти какой-либо проверенный инструмент для этого. Даже SafeHTMLUtils GWT не будет работать. потому что он слишком сильно изменяет HTML, нарушая пользовательский ввод.
Изменить:
Я нашел дезинфицирующее средство под названием Jsoup. Он делает именно то, что мне нужно. Но даже в расслабленном режиме удаляются теги img со встроенными изображениями.