¿Cómo escapar de JavaScript en una cadena HTML mientras se mantiene el HTML sin escape?

Tenemos una aplicación web. En algunos puntos hay un editor WSIWYG / RichText basado en JavaScript. Filtra algo de JavaScript pero usa texto HTML para formatear su contenido.

Lamentablemente no filtra todo JavaScript. Pude probar un ataque XSS con un controlador de eventos. Creo que el filtrado de JavaScript del lado del cliente de JavaScript no es seguro en absoluto, porque en el lado del cliente puede ser manipulado.

Por lo tanto, me gustaría filtrar o escapar de JavaScript en el lado del servidor. He echado un vistazo a ESAPI para Java. Pero tenemos un requisito, no sé si es especial o un problema: los elementos HTML que utiliza el editor no deben filtrarse ni escapar, solo JavaScript. El HTML debe ser procesado en el navegador.

  • ¿Hay alguna forma segura de escapar o filtrar JavaScript manteniendo el HTML como está?
  • ¿ESAPI o alguna otra API me ayudan a hacer esto?
  • Cómo lo hago.

Gracias por adelantado.

Respuesta 1

El siguiente código debería ser bastante evidente. Lo que he inventado hasta ahora para calcular Y con la variable xy algunas constantes: public static void main (String [] args) {int x = 50; String str = "...

Tenemos un sitio de intranet que atiende a 50,000 usuarios como máximo (generalmente solo un par de personas están en línea al mismo tiempo). Utilizamos Eclipse, SAP Connector, J2EE 1.4, JSP, Struts 1.x, Tomcat 4.1 y ...

¿Alguna idea de cómo el cliente http apache maneja el encabezado Retry-After? Apache ha implementado el controlador de reintento predeterminado, pero no puedo ver ninguna lógica basada en el encabezado de reintento allí. si no es así ...

Quiero convertir el byte hexadecimal a Unicode. Tengo hexadecimal 0x80 en Windows-1250 y quiero convertir a '\ u0402'. ¿Es posible con métodos estándar sin interruptor?