扩展自jsoup的HTML XSS过滤程序
本文由发表于3年前 | J2EE | 暂无评论 |  被围观 562 views+

当我们使用富文本编辑器的时候,为了确保存储的内容没有XSS注入问题,比较安全的做法是对输入的内容进行过滤。

常见的XSS注入方式可以参考这里:

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Jsoup中提供给了白名单过滤的功能,但是并没有对属性进行校验,而属性中可能包含JS脚本或者是CSS注入,所以除了设置白名单的标签和属性之外,也需要对属性进行过滤。以下是一个过滤程序,允许你对属性进行自定义的过滤设置,并且允许动态的刷新白名单列表,方便在运行时增减支持从标签。

https://github.com/arthinking/java-code/tree/master/src/main/java/me/arthinking/html/jsoup/custom

还有另一种解决XSS的思路,就是严格的限制每一个标签和输入的属性值,只有符合声明的规则的HTML文本才允许校验通过,AntiSamy正是基于这个思路的,通过把符合安全规则的标签和属性值都通过正则的方式写入到了xml文件里面进行过滤,可以参考这里:

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
除了文章中有特别说明,均为IT宅原创文章,转载请以链接形式注明出处。
本文链接:http://www.itzhai.com/jsoup-html-xss-program.html
关键字:
arthinking 指弹吉他 && 技术 more
分享到:
 
2015 3/9
如果您有更好的原创技术博文或者观点,欢迎投稿:admin@itzhai.com,或者关注订阅左侧浮动面板的微信号订阅IT宅itread)发送消息。
文章评论
    没有评论
给我留言

有人回复时邮件通知我
J2EE的相关文章
随机文章 本月热门 热评
1 【转】在危机的边缘上 马斯克如何看待失败? 2013/11/4
2 Tomcat源码分析 – HttpServlet的源码分析 2011/11/10
3 InvalidMappingException提示Could not parse mapping document错误的解决方法 2011/5/26
4 设计模式笔记 – Decorator 装饰模式 (Design Pattern) 及其在JavaIO流系统中的运用 2011/10/22
5 C++语法笔记汇总 | IT宅文章归档 AD 2011/11/14 2011/11/14
6 Ext.dd.DD模拟桌面图标自动对齐 2011/4/13
友情推荐 更多
破博客 文官洗碗安天下,武将打怪定乾坤。多么美好的年代,思之令人泪落。
Mr.5's Life 白天是一名程序员,晚上就是个有抱负的探索者
行知-追寻技术之美 关注大数据,分布式系统
我爱编程 编程成长轨迹
Cynthia's Blog 学习笔记 知识总结 思考感悟
 
猜您喜欢
欢迎关注我的公众号 IT宅
关于IT宅 文章归档

IT宅中的文章除了标题注明转载或有特别说明的文章,均为IT宅的技术知识总结,学习笔记或随笔。如果喜欢,请使用文章下面提供的分享组件。转载请注明出处并加入文章的原链接。 感谢大家的支持。

联系我们:admin@itzhai.com

Theme by arthinking. Copyright © 2011-2015 IT宅.com 保留所有权利.