jsoup 1.15.3 现已发布,包括针对潜在 XSS 攻击的安全修复,以及其他改进,包括更具描述性的验证错误消息。jsoup 是一个用于处理 real-world HTML 的 Java 库。它使用最好的 HTML5 DOM 方法和 CSS 选择器提供了一个非常方便的 API 用于提取和操作数据。
下载地址:https://jsoup.org/download
具体更新内容包括:
安全
- 修复了如果
SafeList.preserveRelativeLinks
启用,jsoup cleaner 可能会错误地清理精心制作的 XSS attempts 的问题。有关更多详细信息,可参阅安全公告。
改进
- 如果在原始解析中启用了源跟踪,Cleaner 将保留已清理元素的源位置。
- 从
Validate
输出的错误消息更具描述性。Exceptions 现在是ValidationExceptions
(扩展了IllegalArgumentException
)。堆栈跟踪不包括 Validate 类,以便更简单地看到异常的来源。常见的验证错误(包括格式错误的 URL 和空选择器结果)都有更明确的错误信息。 - 构建改进:在 jar 清单中添加了实现版本和相关字段。#1809
Bug 修复
DataUtil
将从 InputStream 中错误地读取小于请求大小的读数。例如,当从分块的服务器响应中解析时,这会导致不正确的结果。#1807
详情可查看官方公告。