java 富文本 过滤xss_富文本XSS过滤

富文本内容要替换掉js代码主要防止xss，不是防止注入，防注入参数化写数据库就好了，或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时，经常会有充许用户输入html样式代码，却禁止脚本的运行的需求, 以达到丰富网页样式，禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索，也没有找到好的解决办法，倒是收集了一些脚本攻击的实例：

其它基本控件的 on...事件中的代码

iframe 和 frameset 中载入其它页面造成的攻击 有了这些资料后，事情就简单多了，写一个简单的方法，用正则表达式把以上符合几点的代码替换掉:

-C#

public string wipescript(string html)

{

system.text.regularexpressions.regex regex1 = new system.text.regularexpressions.regex(@"

system.text.regularexpressions.regex regex2 = new system.text.regularexpressions.regex(@" href *= *[\s\S]*script *:",system.text.regularexpressions.regexoptions.ignorecase);

system.text.regularexpressions.regex regex3 = new system.text.regularexpressions.regex(@" on[\s\S]*=",system.text.regularexpressi