测试一个HTML解析器/清理器的单元测试？

Ha.ckers的XSS防范清单非常全面，它促使我基于白名单构建了JSoup的过滤器。

谷歌的主页似乎存在格式问题，也许你可以使用这个链接来解决： http://validator.w3.org/check?uri=www.google.com&charset=%28detect+automatically%29&doctype=Inline&group=0

http://www.codinghorror.com/blog/2006/11/its-a-malformed-world.html

我专门为此目的构建了html-sanitizer-testbed，它包括两个组件：

1. 一套测试，旨在检查HTML清理器的安全性。 我收集了我能找到的每个棘手情况。 它包括ha.ckers.org XSS cheatsheet上的所有内容，以及我多年来收集的许多其他测试用例。 多年来，我已经分析了几十个HTML清理器（它们中的大部分都存在漏洞），并为我发现的每个安全漏洞添加了一个测试用例，因此这是一个相当不错的合集。

2. 此外，它还提供了一些测试自动化功能，以便您无需手动查看输出结果：您可以启动浏览器并检查浏览器是否似乎在清理器的输出结果中执行了任何Javascript（在这种情况下，清理器将失效）。 这部分功能不是100％可靠的，并且不带任何保证，因此为了最大效果，您可能需要手动查看输出结果。 然而，到目前为止，它已经运作得相当不错。

欢迎反馈和贡献。