我建议为此使用Jsoup。
您想允许不受信任的用户提供HTML以在您的网站上输出(例如,作为评论提交)。您需要清除此HTML,以避免跨站点脚本(XSS)攻击。
将jsoup HTML Cleaner用于由指定的配置Whitelist。
String unsafe =
"<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
// Now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>