我有一個(gè)文本框，可以接受任何文本，包括 html 和嵌入 javascript 的 html。我需要通過(guò)在 java 中實(shí)現(xiàn)的服務(wù)器端 REST API 來(lái)驗(yàn)證此數(shù)據(jù)?；旧衔倚枰ㄟ^(guò)不允許任何 javascript 數(shù)據(jù)保存在我的數(shù)據(jù)庫(kù)中來(lái)進(jìn)行此驗(yàn)證以避免 XSS 漏洞。當(dāng)我從服務(wù)器端 API 上的上述文本框中接收文本時(shí)，如果存在嵌入 java 腳本的 html 文本，則應(yīng)該拋出錯(cuò)誤，但正常的 html 文本應(yīng)該沒(méi)問(wèn)題。示例：在上面的文本框中，<svg onload=alert(document.cookie)/>不允許使用 as 數(shù)據(jù)，但 <html><h1>this is test</h1></html>允許使用正常的 html 文本。我嘗試使用 JSoup，它是一個(gè) HTML 解析庫(kù)，但我只需要驗(yàn)證該文本中是否存在 javascript，而不是檢查 html 標(biāo)簽。任何人都可以建議一種方法來(lái)做到這一點(diǎn)。