GWT SafeHTML，XSS和最佳实践

 
ESAPI.encoder().encodeForHTML(\"input\");
ESAPI.encoder().encodeForHTMLAttribute(\"input\");
ESAPI.encoder().encodeForJavaScript(\"input\");
ESAPI.encoder().encodeForCSS(\"input\");
ESAPI.encoder().encodeForURL(\"input\");

        

SafeHtmlTemplates

会这样做（尽管仅客户端，因为它依赖于GWT生成器）。它将使用\“ tag汤\\”解析器解析HTML片段，该解析器将推断上下文，并在该参数不能在该上下文中使用的情况下记录警告或抛出警告（例如，它禁止在其中使用占位符）脚本上下文）。尽管这仍在不断变化中（

SafeUri

仍在审查中，

SafeStyles

仍受到严格限制），但它将在适当的时候出现（我认为应该在GWT 2.4中）。 除此以外：

SafeHtmlUtils

将转义所有

<

，

>

，

&

，

\'

和ѭ9escape，因此结果对于\“ HTML \”和\“ HTML attribute \”上下文是安全的

SafeHtmlBuilder

的各种添加方法将在后台调用

SafeHtmlUtils

UriUtils

提供了清理不安全URI的工具（如果您要构建HTML字符串，则仍然需要

SafeHtmlUtils

通过或同等的功能-与直接将值用于图片来源或锚点的href– ）。

SafeStyles

本身并没有提供任何特定的内容，但是ѭ1only只会在CSS上下文的开头允许它，并且如果您尝试在CSS上下文中放置其他内容，则会记录一条警告。 16ѭ有望通过类型安全的方法进行扩展，以帮助构建格式良好的CSS。 我一直在使用类似于

SafeStyles

的

SafeUri

接口，但是在URL上下文中。在适当的时候，

SafeHtmlTemplates

将只允许

SafeUri

或a21ѭ作为URL属性的完整值，并通过

UriUtils

传递

String

以确保其安全。 简而言之，我认为您的问题的答案是：是的，GWT的safehtml软件包可以满足此要求；但为了安全起见，您可能必须始终使用最新版本的GWT（至少在明年使用）。