Jsoup解析Html中文文檔

<span style="font-family: "Helvetica Neue", Helvetica, Verdana, Arial, sans-serif; font-size: 14px; line-height: 23.8px;">轉發請註明出處：http://www.cnblogs.com/jycboy/p/jsoupdoc.html</span>

soup 簡介

Java 程序在解析 HTML 文檔時，相信大家都接觸過 htmlparser 這個開源項目，我曾經在 IBM DW 上發表過兩篇關於 htmlparser 的文章，分別是：從 HTML 中攫取你所需的信息和 擴展 HTMLParser 對自定義標籤的處理能力。但現在我已經不再使用 htmlparser 了，原因是 htmlparser 很少更新，但最重要的是有了 jsoup 。
jsoup 是一款 Java 的 HTML 解析器，可直接解析某個 URL 地址、HTML 文本內容。它提供了一套非常省力的 API，可通過 DOM，CSS 以及類似於 jQuery 的操作方法來取出和操作數據。
jsoup 的主要功能如下：
1. 從一個 URL，文件或字符串中解析 HTML；
2. 使用 DOM 或 CSS 選擇器來查找、取出數據；
3. 可操作 HTML 元素、屬性、文本；

官網地址：http://www.open-open.com/jsoup/   

jsoup Cookbook(中文版)  

入門

1.解析和遍歷一個html文檔

輸入

2.解析一個html字符串
3.解析一個body片斷
4.根據一個url加載Document對象
5.根據一個文件加載Document對象

數據抽取

6.使用dom方法來遍歷一個Document對象
7.使用選擇器語法來查找元素
8.從元素集合抽取屬性、文本和html內容
9.URL處理
10.程序示例：獲取所有鏈接

數據修改

11.設置屬性值
12.設置元素的html內容
13.設置元素的文本內容

html清理

14.消除不受信任的html (來防止xss攻擊)

1.解析和遍歷一個HTML文檔

如何解析一個HTML文檔：

String html = "<html><head><title>First parse</title></head>"
+ "<body><p>Parsed HTML into a doc.</p></body></html>";
Document doc = Jsoup.parse(html);

(更詳細內容可查看 解析一個HTML字符串.)

其解析器能夠盡最大可能從你提供的HTML文檔來創見一個乾淨的解析結果，無論HTML的格式是否完整。比如它可以處理：

沒有關閉的標籤 (比如： <p>Lorem <p>Ipsum parses to <p>Lorem</p> <p>Ipsum</p>)
隱式標籤 (比如. 它可以自動將 <td>Table data</td>包裝成<table><tr><td>?)
創建可靠的文檔結構（html標籤包含head 和 body，在head只出現恰當的元素）
一個文檔的對象模型
文檔由多個Elements和TextNodes組成 (以及其它輔助nodes：詳細可查看：nodes package tree).
其繼承結構如下：Document繼承Element繼承Node. TextNode繼承 Node.
一個Element包含一個子節點集合，並擁有一個父Element。他們還提供了一個唯一的子元素過濾列表。
參見
數據抽取：DOM遍歷
數據抽取：Selector syntax

2.解析一個HTML字符串

存在問題
來自用戶輸入，一個文件或一個網站的HTML字符串，你可能需要對它進行解析並取其內容，或校驗其格式是否完整，或想修改它。怎麼辦？jsonu能夠幫你輕鬆解決這些問題

解決方法
使用靜態Jsoup.parse(String html) 方法或 Jsoup.parse(String html, String baseUri)示例代碼：

1 2 3

String html = "<html><head><title>First parse</title></head>" + "<body><p>Parsed HTML into a doc.</p></body></html>"; Document doc = Jsoup.parse(html);

　　描述

parse(String html, String baseUri) 這方法能夠將輸入的HTML解析爲一個新的文檔 (Document），參數 baseUri 是用來將相對 URL 轉成絕對URL，並指定從哪個網站獲取文檔。如這個方法不適用，你可以使用parse(String html) 方法來解析成HTML字符串如上面的示例。.

只要解析的不是空字符串，就能返回一個結構合理的文檔，其中包含(至少) 一個head和一個body元素。

一旦擁有了一個Document，你就可以使用Document中適當的方法或它父類 Element和Node中的方法來取得相關數據。

 

3.解析一個body片斷

問題
假如你有一個HTML片斷 (比如. 一個 div 包含一對 p 標籤; 一個不完整的HTML文檔) 想對它進行解析。這個HTML片斷可以是用戶提交的一條評論或在一個CMS頁面中編輯body部分。

辦法
使用Jsoup.parseBodyFragment(String html)方法.

1 2 3

String html = "<div><p>Lorem ipsum.</p>"; Document doc = Jsoup.parseBodyFragment(html); Element body = doc.body();

　　說明

parseBodyFragment 方法創建一個空殼的文檔，並插入解析過的HTML到body元素中。假如你使用正常的Jsoup.parse(String html) 方法，通常你也可以得到相同的結果，但是明確將用戶輸入作爲 body片段處理，以確保用戶所提供的任何糟糕的HTML都將被解析成body元素。

Document.body() 方法能夠取得文檔body元素的所有子元素，與 doc.getElementsByTag("body")相同。

保證安全Stay safe
假如你可以讓用戶輸入HTML內容，那麼要小心避免跨站腳本攻擊。利用基於 Whitelist 的清除器和 clean(String bodyHtml, Whitelist whitelist)方法來清除用戶輸入的惡意內容。

4.從一個URL加載一個Document

存在問題

你需要從一個網站獲取和解析一個HTML文檔，並查找其中的相關數據。你可以使用下面解決方法：

解決方法

使用 Jsoup.connect(String url)方法:

1 2	Document doc = Jsoup.connect("http://example.com/").get(); String title = doc.title();

　　說明

connect(String url) 方法創建一個新的 Connection, 和 get() 取得和解析一個HTML文件。如果從該URL獲取HTML時發生錯誤，便會拋出 IOException，應適當處理。

Connection 接口還提供一個方法鏈來解決特殊請求，具體如下：

1 2 3 4 5 6

Document doc = Jsoup.connect("http://example.com")   .data("query", "Java")   .userAgent("Mozilla")   .cookie("auth", "token")   .timeout(3000)   .post();

　　這個方法只支持Web URLs (http和https 協議); 假如你需要從一個文件加載，可以使用 parse(File in, String charsetName) 代替。

5.從一個文件加載一個文檔

問題

在本機硬盤上有一個HTML文件，需要對它進行解析從中抽取數據或進行修改。

辦法

可以使用靜態 Jsoup.parse(File in, String charsetName, String baseUri) 方法：

1 2	File input = new File("/tmp/input.html"); Document doc = Jsoup.parse(input, "UTF-8", "http://example.com/");

　　說明

parse(File in, String charsetName, String baseUri) 這個方法用來加載和解析一個HTML文件。如在加載文件的時候發生錯誤，將拋出IOException，應作適當處理。

baseUri 參數用於解決文件中URLs是相對路徑的問題。如果不需要可以傳入一個空的字符串。

另外還有一個方法parse(File in, String charsetName) ，它使用文件的路徑做爲 baseUri。 這個方法適用於如果被解析文件位於網站的本地文件系統，且相關鏈接也指向該文件系統。

6.使用DOM方法來遍歷一個文檔

問題

你有一個HTML文檔要從中提取數據，並瞭解這個HTML文檔的結構。

方法

將HTML解析成一個Document之後，就可以使用類似於DOM的方法進行操作。示例代碼：

1 2 3 4 5 6 7 8 9

File input = new File("/tmp/input.html"); Document doc = Jsoup.parse(input, "UTF-8", "http://example.com/");   Element content = doc.getElementById("content"); Elements links = content.getElementsByTag("a"); for (Element link : links) {   String linkHref = link.attr("href");   String linkText = link.text(); }

　　說明

Elements這個對象提供了一系列類似於DOM的方法來查找元素，抽取並處理其中的數據。具體如下：

查找元素

• getElementById(String id)
• getElementsByTag(String tag)
• getElementsByClass(String className)
• getElementsByAttribute(String key) (and related methods)
• Element siblings: siblingElements(), firstElementSibling(), lastElementSibling();nextElementSibling(), previousElementSibling()
• Graph: parent(), children(), child(int index)

元素數據

• attr(String key)獲取屬性attr(String key, String value)設置屬性
• attributes()獲取所有屬性
• id(), className() and classNames()
• text()獲取文本內容text(String value) 設置文本內容
• html()獲取元素內HTMLhtml(String value)設置元素內的HTML內容
• outerHtml()獲取元素外HTML內容
• data()獲取數據內容（例如：script和style標籤)
• tag() and tagName()

操作HTML和文本

• append(String html), prepend(String html)
• appendText(String text), prependText(String text)
• appendElement(String tagName), prependElement(String tagName)
• html(String value)

7.使用選擇器語法來查找元素

問題

你想使用類似於CSS或jQuery的語法來查找和操作元素。

方法

可以使用Element.select(String selector) 和 Elements.select(String selector) 方法實現：

1 2 3 4 5 6 7 8 9 10 11

File input = new File("/tmp/input.html"); Document doc = Jsoup.parse(input, "UTF-8", "http://example.com/");   Elements links = doc.select("a[href]"); //帶有href屬性的a元素 Elements pngs = doc.select("img[src$=.png]");   //擴展名爲.png的圖片   Element masthead = doc.select("div.masthead").first();   //class等於masthead的div標籤   Elements resultLinks = doc.select("h3.r > a"); //在h3元素之後的a元素

　說明

jsoup elements對象支持類似於CSS (或jquery)的選擇器語法，來實現非常強大和靈活的查找功能。.

這個select 方法在Document, Element,或Elements對象中都可以使用。且是上下文相關的，因此可實現指定元素的過濾，或者鏈式選擇訪問。

Select方法將返回一個Elements集合，並提供一組方法來抽取和處理結果。

Selector選擇器概述

• tagname: 通過標籤查找元素，比如：a
• ns|tag: 通過標籤在命名空間查找元素，比如：可以用 fb|name 語法來查找 <fb:name> 元素
• #id: 通過ID查找元素，比如：#logo
• .class: 通過class名稱查找元素，比如：.masthead
• [attribute]: 利用屬性查找元素，比如：[href]
• [^attr]: 利用屬性名前綴來查找元素，比如：可以用[^data-] 來查找帶有HTML5 Dataset屬性的元素
• [attr=value]: 利用屬性值來查找元素，比如：[width=500]
• [attr^=value], [attr$=value], [attr*=value]: 利用匹配屬性值開頭、結尾或包含屬性值來查找元素，比如：[href*=/path/]
• [attr~=regex]: 利用屬性值匹配正則表達式來查找元素，比如： img[src~=(?i)\.(png|jpe?g)]
• *: 這個符號將匹配所有元素

Selector選擇器組合使用

• el#id: 元素+ID，比如： div#logo
• el.class: 元素+class，比如： div.masthead
• el[attr]: 元素+class，比如： a[href]
• 任意組合，比如：a[href].highlight
• ancestor child: 查找某個元素下子元素，比如：可以用.body p 查找在"body"元素下的所有 p元素
• parent > child: 查找某個父元素下的直接子元素，比如：可以用div.content > p 查找 p 元素，也可以用body > * 查找body標籤下所有直接子元素
• siblingA + siblingB: 查找在A元素之前第一個同級元素B，比如：div.head + div
• siblingA ~ siblingX: 查找A元素之前的同級X元素，比如：h1 ~ p
• el, el, el:多個選擇器組合，查找匹配任一選擇器的唯一元素，例如：div.masthead, div.logo

僞選擇器selectors

• :lt(n): 查找哪些元素的同級索引值（它的位置在DOM樹中是相對於它的父節點）小於n，比如：td:lt(3) 表示小於三列的元素
• :gt(n):查找哪些元素的同級索引值大於n，比如： div p:gt(2)表示哪些div中有包含2個以上的p元素
• :eq(n): 查找哪些元素的同級索引值與n相等，比如：form input:eq(1)表示包含一個input標籤的Form元素
• :has(seletor): 查找匹配選擇器包含元素的元素，比如：div:has(p)表示哪些div包含了p元素
• :not(selector): 查找與選擇器不匹配的元素，比如： div:not(.logo) 表示不包含 class="logo" 元素的所有 div 列表
• :contains(text): 查找包含給定文本的元素，搜索不區分大不寫，比如： p:contains(jsoup)
• :containsOwn(text): 查找直接包含給定文本的元素
• :matches(regex): 查找哪些元素的文本匹配指定的正則表達式，比如：div:matches((?i)login)
• :matchesOwn(regex): 查找自身包含文本匹配指定正則表達式的元素
• 注意：上述僞選擇器索引是從0開始的，也就是說第一個元素索引值爲0，第二個元素index爲1等

可以查看Selector API參考來了解更詳細的內容

8.從元素抽取屬性，文本和HTML

問題

在解析獲得一個Document實例對象，並查找到一些元素之後，你希望取得在這些元素中的數據。

方法

• 要取得一個屬性的值，可以使用Node.attr(String key) 方法
• 對於一個元素中的文本，可以使用Element.text()方法
• 對於要取得元素或屬性中的HTML內容，可以使用Element.html(), 或 Node.outerHtml()方法

示例：

1 2 3 4 5 6 7 8 9 10 11

String html = "<p>An <a href='http://example.com/'><b>example</b></a> link.</p>"; Document doc = Jsoup.parse(html);//解析HTML字符串返回一個Document實現 Element link = doc.select("a").first();//查找第一個a元素   String text = doc.body().text(); // "An example link"//取得字符串中的文本 String linkHref = link.attr("href"); // "http://example.com/"//取得鏈接地址 String linkText = link.text(); // "example""//取得鏈接地址中的文本   String linkOuterH = link.outerHtml();     // "<a href="http://example.com"><b>example</b></a>" String linkInnerH = link.html(); // "<b>example</b>"//取得鏈接內的html內容

　　說明

上述方法是元素數據訪問的核心辦法。此外還其它一些方法可以使用：

• Element.id()
• Element.tagName()
• Element.className() and Element.hasClass(String className)

這些訪問器方法都有相應的setter方法來更改數據.

參見

• Element和Elements集合類的參考文檔
• URLs處理
• 使用CSS選擇器語法來查找元素

9.處理URLs

問題

你有一個包含相對URLs路徑的HTML文檔，需要將這些相對路徑轉換成絕對路徑的URLs。

方法

1. 在你解析文檔時確保有指定base URI，然後
2. 使用 abs: 屬性前綴來取得包含base URI的絕對路徑。代碼如下： 

   1 2 3 4 5

   Document doc = Jsoup.connect("http://www.open-open.com").get();   Element link = doc.select("a").first(); String relHref = link.attr("href"); // == "/" String absHref = link.attr("abs:href"); // "http://www.open-open.com/"

   　　說明

在HTML元素中，URLs經常寫成相對於文檔位置的相對路徑： <a href="/download">...</a>. 當你使用 Node.attr(String key) 方法來取得a元素的href屬性時，它將直接返回在HTML源碼中指定定的值。

假如你需要取得一個絕對路徑，需要在屬性名前加 abs: 前綴。這樣就可以返回包含根路徑的URL地址attr("abs:href")

因此，在解析HTML文檔時，定義base URI非常重要。

如果你不想使用abs: 前綴，還有一個方法能夠實現同樣的功能 Node.absUrl(String key)。

10.示例程序: 獲取所有鏈接

這個示例程序將展示如何從一個URL獲得一個頁面。然後提取頁面中的所有鏈接、圖片和其它輔助內容。並檢查URLs和文本信息。

運行下面程序需要指定一個URLs作爲參數

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

import org.jsoup.Jsoup; import org.jsoup.helper.Validate; import org.jsoup.nodes.Document; import org.jsoup.nodes.Element; import org.jsoup.select.Elements;   import java.io.IOException;   /**  * Example program to list links from a URL.  */ public class ListLinks {     public static void main(String[] args) throws IOException {        // Validate.isTrue(args.length == 1, "usage: supply url to fetch");         String url = "http://news.ycombinator.com/";         print("Fetching %s...", url);           Document doc = Jsoup.connect(url).get();         Elements links = doc.select("a[href]"); //"a[href]" //帶有href屬性的a元素         Elements media = doc.select("[src]");   //利用屬性查找元素，比如：[href]         Elements imports = doc.select("link[href]");           print("\nMedia: (%d)", media.size());         for (Element src : media) {             if (src.tagName().equals("img"))                 print(" * %s: <%s> %sx%s (%s)",                         src.tagName(), src.attr("abs:src"), src.attr("width"), src.attr("height"),                         trim(src.attr("alt"), 20));//src.attr("src")結果:<y18.gif> 18x18 ()                                                     //src.attr("abs:src")結果:<https://news.ycombinator.com/y18.gif> 18x18 ()             else                 print(" * %s: <%s>", src.tagName(), src.attr("abs:src"));         }           print("\nImports: (%d)", imports.size());         for (Element link : imports) {             print(" * %s <%s> (%s)", link.tagName(),link.attr("abs:href"), link.attr("rel"));         }           print("\nLinks: (%d)", links.size());         for (Element link : links) {             print(" * a: <%s>  (%s)", link.attr("abs:href"), trim(link.text(), 35));         }     }       private static void print(String msg, Object... args) {         System.out.println(String.format(msg, args));     }       private static String trim(String s, int width) {         if (s.length() > width)             return s.substring(0, width-1) + ".";         else             return s;     } } //org/jsoup/examples/ListLinks.java

　　示例輸入結果：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48

Fetching http://news.ycombinator.com/...   Media: (38)  * img: <http://ycombinator.com/images/y18.gif> 18x18 ()  * img: <http://ycombinator.com/images/s.gif> 10x1 ()  * img: <http://ycombinator.com/images/grayarrow.gif> x ()  * img: <http://ycombinator.com/images/s.gif> 0x10 ()  * script: <http://www.co2stats.com/propres.php?s=1138>  * img: <http://ycombinator.com/images/s.gif> 15x1 ()  * img: <http://ycombinator.com/images/hnsearch.png> x ()  * img: <http://ycombinator.com/images/s.gif> 25x1 ()  * img: <http://mixpanel.com/site_media/images/mixpanel_partner_logo_borderless.gif> x (Analytics by Mixpan.)    Imports: (2)  * link <http://ycombinator.com/news.css> (stylesheet)  * link <http://ycombinator.com/favicon.ico> (shortcut icon)    Links: (141)  * a: <http://ycombinator.com>  ()  * a: <http://news.ycombinator.com/news>  (Hacker News)  * a: <http://news.ycombinator.com/newest>  (new)  * a: <http://news.ycombinator.com/newcomments>  (comments)  * a: <http://news.ycombinator.com/leaders>  (leaders)  * a: <http://news.ycombinator.com/jobs>  (jobs)  * a: <http://news.ycombinator.com/submit>  (submit)  * a: <http://news.ycombinator.com/x?fnid=JKhQjfU7gW>  (login)  * a: <http://news.ycombinator.com/vote?for=1094578&dir=up&whence=%6e%65%77%73>  ()  * a: <http://www.readwriteweb.com/archives/facebook_gets_faster_debuts_homegrown_php_compiler.php?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+readwriteweb+%28ReadWriteWeb%29&utm_content=Twitter>  (Facebook speeds up PHP)  * a: <http://news.ycombinator.com/user?id=mcxx>  (mcxx)  * a: <http://news.ycombinator.com/item?id=1094578>  (9 comments)  * a: <http://news.ycombinator.com/vote?for=1094649&dir=up&whence=%6e%65%77%73>  ()  * a: <http://groups.google.com/group/django-developers/msg/a65fbbc8effcd914>  ("Tough. Django produces XHTML.")  * a: <http://news.ycombinator.com/user?id=andybak>  (andybak)  * a: <http://news.ycombinator.com/item?id=1094649>  (3 comments)  * a: <http://news.ycombinator.com/vote?for=1093927&dir=up&whence=%6e%65%77%73>  ()  * a: <http://news.ycombinator.com/x?fnid=p2sdPLE7Ce>  (More)  * a: <http://news.ycombinator.com/lists>  (Lists)  * a: <http://news.ycombinator.com/rss>  (RSS)  * a: <http://ycombinator.com/bookmarklet.html>  (Bookmarklet)  * a: <http://ycombinator.com/newsguidelines.html>  (Guidelines)  * a: <http://ycombinator.com/newsfaq.html>  (FAQ)  * a: <http://ycombinator.com/newsnews.html>  (News News)  * a: <http://news.ycombinator.com/item?id=363>  (Feature Requests)  * a: <http://ycombinator.com>  (Y Combinator)  * a: <http://ycombinator.com/w2010.html>  (Apply)  * a: <http://ycombinator.com/lib.html>  (Library)  * a: <http://www.webmynd.com/html/hackernews.html>  ()  * a: <http://mixpanel.com/?from=yc>  ()

　　

11.設置屬性的值

問題

在你解析一個Document之後可能想修改其中的某些屬性值，然後再保存到磁盤或都輸出到前臺頁面。

方法

可以使用屬性設置方法 Element.attr(String key, String value), 和 Elements.attr(String key, String value).

假如你需要修改一個元素的 class 屬性，可以使用 Element.addClass(String className) 和Element.removeClass(String className) 方法。

Elements 提供了批量操作元素屬性和class的方法，比如：要爲div中的每一個a元素都添加一個rel="nofollow" 可以使用如下方法：

1	doc.select("div.comments a").attr("rel", "nofollow");

　　說明

與Element中的其它方法一樣，attr 方法也是返回當 Element (或在使用選擇器是返回 Elements 集合)。這樣能夠很方便使用方法連用的書寫方式。比如：

1	doc.select("div.masthead").attr("title", "jsoup").addClass("round-box");

　　

12.設置一個元素的HTML內容

問題

你需要一個元素中的HTML內容

方法

可以使用Element中的HTML設置方法具體如下：

1 2 3 4 5 6 7 8 9

Element div = doc.select("div").first(); // <div></div> div.html("<p>lorem ipsum</p>"); // <div><p>lorem ipsum</p></div> div.prepend("<p>First</p>");//在div前添加html內容 div.append("<p>Last</p>");//在div之後添加html內容 // 添完後的結果: <div><p>First</p><p>lorem ipsum</p><p>Last</p></div>   Element span = doc.select("span").first(); // <span>One</span> span.wrap("<li><a href='http://example.com/'></a></li>"); // 添完後的結果: <li><a href="http://example.com"><span>One</span></a></li>

　　說明

• Element.html(String html) 這個方法將先清除元素中的HTML內容，然後用傳入的HTML代替。
• Element.prepend(String first) 和 Element.append(String last) 方法用於在分別在元素內部HTML的前面和後面添加HTML內容
• Element.wrap(String around) 對元素包裹一個外部HTML內容。

參見

可以查看API參考文檔中 Element.prependElement(String tag)和Element.appendElement(String tag) 方法來創建新的元素並作爲文檔的子元素插入其中。

13.設置元素的文本內容

問題

你需要修改一個HTML文檔中的文本內容

方法

可以使用Element的設置方法：:

1 2 3 4 5

Element div = doc.select("div").first(); // <div></div> div.text("five > four"); // <div>five > four</div> div.prepend("First "); div.append(" Last"); // now: <div>First five > four Last</div>

　　說明

文本設置方法與 HTML setter 方法一樣：

• Element.text(String text) 將清除一個元素中的內部HTML內容，然後提供的文本進行代替
• Element.prepend(String first) 和 Element.append(String last) 將分別在元素的內部html前後添加文本節點。

對於傳入的文本如果含有像 <, > 等這樣的字符，將以文本處理，而非HTML。

14.消除不受信任的HTML (來防止XSS攻擊)

問題

在做網站的時候，經常會提供用戶評論的功能。有些不懷好意的用戶，會搞一些腳本到評論內容中，而這些腳本可能會破壞整個頁面的行爲，更嚴重的是獲取一些機要信息，此時需要清理該HTML，以避免跨站腳本cross-site scripting攻擊（XSS）。

方法

使用jsoup HTML Cleaner 方法進行清除，但需要指定一個可配置的 Whitelist。

1 2 3 4

String unsafe =   "<p><a href='http://example.com/' οnclick='stealCookies()'>Link</a></p>"; String safe = Jsoup.clean(unsafe, Whitelist.basic()); // now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

　　說明

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。XSS屬於被動式的攻擊，因爲其被動且不好利用，所以許多人常忽略其危害性。所以我們經常只讓用戶輸入純文本的內容，但這樣用戶體驗就比較差了。

一個更好的解決方法就是使用一個富文本編輯器WYSIWYG如CKEditor 和 TinyMCE。這些可以輸出HTML並能夠讓用戶可視化編輯。雖然他們可以在客戶端進行校驗，但是這樣還不夠安全，需要在服務器端進行校驗並清除有害的HTML代碼，這樣才能確保輸入到你網站的HTML是安全的。否則，攻擊者能夠繞過客戶端的Javascript驗證，並注入不安全的HMTL直接進入您的網站。

jsoup的whitelist清理器能夠在服務器端對用戶輸入的HTML進行過濾，只輸出一些安全的標籤和屬性。

jsoup提供了一系列的Whitelist基本配置，能夠滿足大多數要求；但如有必要，也可以進行修改，不過要小心。

這個cleaner非常好用不僅可以避免XSS攻擊，還可以限制用戶可以輸入的標籤範圍。

參見

• 參閱XSS cheat sheet ，有一個例子可以瞭解爲什麼不能使用正則表達式，而採用安全的whitelist parser-based清理器纔是正確的選擇。
• 參閱Cleaner ，瞭解如何返回一個 Document 對象，而不是字符串
• 參閱Whitelist，瞭解如何創建一個自定義的whitelist
• nofollow 鏈接屬性瞭解

　　

轉發請註明出處：http://www.cnblogs.com/jycboy/p/jsoupdoc.html