Какие теги XML следует удалить для безопасности?

Question

Я создаю веб-приложение для публикации сообщений на форуме, используя Java, и я хочу знать:

1. Какие теги xml следует анализировать и удалять при публикации, например тег <script>?
2. Должен ли я удалить тег и сохранить содержимое или удалить теги с содержимым?
3. Каково регулярное выражение для их удаления?

Answer 1

Вы хотите разрешить пользователям использовать HTML для форматирования своих сообщений?

1. Не составлять список небезопасных тегов;составьте список безопасных тегов и принимайте только те
2. Это зависит от вас
3. Тема анализа HTML / XML с помощью регулярных выражений была рассмотрена ранее

Answer 2

Вы можете спросить себя, какие теги разрешить. Не какой удалить.

Вы должны просто хранить достаточно тегов, чтобы пользователи могли выражать свои мысли без ущерба для сайта. И, возможно, вам стоит взглянуть на BB-код , он предназначен для этой цели.