javaweb項(xiàng)目，從安全的角度思考，否則哪天你的項(xiàng)目就被簡(jiǎn)單的黑掉了。最簡(jiǎn)單的就是從網(wǎng)站輸入了alert("i am coming")，返回的確實(shí)一個(gè)彈出框，這就尷尬了。

事實(shí)上，現(xiàn)在運(yùn)行的很多項(xiàng)目，安全的意識(shí)還沒(méi)有得到重視。不要等到被勒索病毒這樣的嚴(yán)重事件爆發(fā)出來(lái)才亡羊補(bǔ)牢，這就晚了。所以，一個(gè)成熟的項(xiàng)目安全是一定要的。

XSS攻擊是相對(duì)簡(jiǎn)單的一個(gè)了，防止XSS攻擊是一定要的。下面說(shuō)一下防止的具體方法：jsoup工具類

jsoup使用很簡(jiǎn)單，功能卻很強(qiáng)大。它提供了很多簡(jiǎn)單易懂，方便應(yīng)用的方法

上代碼好說(shuō)話

項(xiàng)目中引入：

jsoup 使用一個(gè) Whitelist 類用來(lái)對(duì) HTML 文檔進(jìn)行過(guò)濾，該類提供幾個(gè)常用方法：

常用方法如下：

none():只允許包含文本信息

basic():允許的標(biāo)簽包括：a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul, 以及合適的屬性

simpleText():只允許 b, em, i, strong, u 這些標(biāo)簽

basicWithImages():在 basic() 的基礎(chǔ)上增加了圖片

relaxed():這個(gè)過(guò)濾器允許的標(biāo)簽最多，包括：a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

如果這五個(gè)過(guò)濾器都無(wú)法滿足你的要求呢，例如你允許用戶插入 flash 動(dòng)畫，沒(méi)關(guān)系，Whitelist 提供擴(kuò)展功能，例如 whitelist.addTags("embed","object","param","span","div"); 也可調(diào)用 addAttributes 為某些元素增加屬性。

用法：Jsoup.clean(content, Whitelist.relaxed());//content:要處理的內(nèi)容

實(shí)例：

加入到你的項(xiàng)目中，測(cè)試后你會(huì)發(fā)現(xiàn)，它很好用，也很實(shí)用。這里只是簡(jiǎn)單使用，入個(gè)門。具體高級(jí)應(yīng)用項(xiàng)目中用到了再深入研究，增加效率，幫助你更快的完成工作