jsoup श्वेतसूची आराम मोड wysiwyg संपादक

Question

मैं अपने ग्राहक में आराम मोड एचटीएमएल एक wysiwyg से पोस्ट को साफ़ करने में (TinyMCE के रूप में यह होता है)

jsoup उपयोग करने का प्रयास कर रहा हूँ के लिए भी सख्त पर्याप्त छूट दी जा करने के लिए नहीं दिखाई देता है डिफ़ॉल्ट रूप से यह अवधि तत्वों और किसी भी शैली विशेषताओं स्ट्रिप्स।

जैसे

String text = "<p style="color: #ff0000;">foobar</p>"; 

    Jsoup.clean(text, Whitelist.relaxed()); 

उत्पादन

<p>foobar</p> 

और

<span>foobar</span> 

पूरी तरह से हटा दिया जाना होगा।

क्या किसी को भी XSS हमलों की संभावना को खत्म करने के लिए Jsoup का उपयोग करने का कोई अनुभव है और अभी भी उपर्युक्त तत्वों और विशेषताओं को अनुमति देता है?

संपादित करें: मैं निम्नलिखित के साथ चला गया है। क्या कोई इस बात पर सलाह दे सकता है कि यह कितना कमजोर है?

Jsoup.clean(pitch, Whitelist.relaxed().addTags("span").addAttributes(":all","style")); 

संपादित करें 2: क्या किसी ने उत्पादन में ओवस्प लाइब्रेरी का उपयोग किया है। सही स्टाइल को संरक्षित करते समय यह सही ढंग से स्वच्छता दिखता है। OWASP

Answer 1

ऐसा लगता है कि यह शैली विशेषता का उपयोग XSS होना संभव नहीं है ..

XSS attacks and style attributes

http://www.thespanner.co.uk/2007/11/26/ultimate-xss-css-injection/

http://www.acunetix.com/websitesecurity/cross-site-scripting.htm (DIV खंड है, जो मैं काम करता है के लिए एक ही ग्रहण करेंगे को देखो स्पैन)

यहां कुछ कोड है जो मैंने अंतिम लिंक में उदाहरण का परीक्षण करने के लिए लिखा है ..

text = "<span style=\"width: expression(alert('XSS'));\">"; 
    System.out.println(Jsoup.clean(text, org.jsoup.safety.Whitelist.relaxed().addTags("span").addAttributes(":all","style"))); 

यह इनपुट को बिल्कुल आउटपुट करता है। यदि वह वास्तव में एक एक्सएसएस वेक्टर है, तो आप अभी भी परेशानी में हो सकते हैं।