如何清理HTML代码以防止Java或JSP中的XSS攻击？

预防XSS（跨站脚本攻击）是Web开发中的一个重要方面，尤其是当涉及到处理用户输入和将其输出到HTML页面时。在Java或JSP环境中，有几种策略可以清理HTML代码，以防止XSS攻击。以下是几种有效的方法：

1. 使用适当的输出编码

对于任何从用户接收并计划在HTML页面上显示的数据，我们必须对其进行HTML编码。这意味着将特殊HTML字符（如<、>、"、' 等）转换为它们对应的HTML实体。例如，字符 '<' 会被转换为 '<'。

示例代码（使用JSP）：

jsp
<%@ page import="org.apache.commons.text.StringEscapeUtils" %>
<% String userInput = request.getParameter("userInput");
   String safeOutput = StringEscapeUtils.escapeHtml4(userInput);
%>
<div>${safeOutput}</div>

2. 使用现成的库进行数据清洗

使用成熟的库，如 OWASP Java HTML Sanitizer，可以去除或处理不安全的HTML标签和属性。这些库通常提供了详细的配置选项，允许开发者定义哪些标签和属性是安全的。

示例代码：

java
import org.owasp.html.HtmlPolicyBuilder;
import org.owasp.html.PolicyFactory;

public class SanitizeHelper {
    private static final PolicyFactory POLICY = new HtmlPolicyBuilder()
                                                    .allowElements("a", "b", "i")
                                                    .allowUrlProtocols("https")
                                                    .allowAttributes("href").onElements("a")
                                                    .toFactory();

    public static String sanitize(String htmlInput) {
        return POLICY.sanitize(htmlInput);
    }
}

String unsafeHtml = "<script>alert('xss');</script><b>Safe Content</b>";
String safeHtml = SanitizeHelper.sanitize(unsafeHtml);

3. 避免直接在JavaScript中嵌入不可信数据

当不可信的数据需要在JavaScript中使用时，不应该直接将其插入到脚本中。而应该通过安全的方式传递数据，比如将数据作为HTML数据属性，然后在JavaScript中通过安全的方法读取。

示例代码（JSP）：

jsp
<div id="userInput" data-userinput="<%= StringEscapeUtils.escapeHtml4(userInput) %>"></div>
<script>
    let userInput = document.getElementById('userInput').getAttribute('data-userinput');
    // 使用userInput进行进一步的处理
</script>

4. 使用内容安全策略（CSP）

设置合适的内容安全策略可以帮助减轻某些类型的XSS攻击的影响。通过定义哪些资源可以被加载和执行，CSP可以作为一道防线对抗XSS攻击。

示例： 在HTTP响应头中添加以下内容：

shell
Content-Security-Policy: default-src 'self'; script-src 'self'; object-src 'none'

总结

通过上述方法，可以有效地防止在Java和JSP环境中的XSS攻击。重要的是要综合使用这些方法，建立多层防护，确保Web应用的安全。