扩展自jsoup的HTML XSS过滤程序
本文由发表于3年前 | J2EE | 暂无评论 |  被围观 2,684 views+

当我们使用富文本编辑器的时候,为了确保存储的内容没有XSS注入问题,比较安全的做法是对输入的内容进行过滤。

常见的XSS注入方式可以参考这里:

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Jsoup中提供给了白名单过滤的功能,但是并没有对属性进行校验,而属性中可能包含JS脚本或者是CSS注入,所以除了设置白名单的标签和属性之外,也需要对属性进行过滤。以下是一个过滤程序,允许你对属性进行自定义的过滤设置,并且允许动态的刷新白名单列表,方便在运行时增减支持从标签。

https://github.com/arthinking/java-code/tree/master/src/main/java/me/arthinking/html/jsoup/custom

还有另一种解决XSS的思路,就是严格的限制每一个标签和输入的属性值,只有符合声明的规则的HTML文本才允许校验通过,AntiSamy正是基于这个思路的,通过把符合安全规则的标签和属性值都通过正则的方式写入到了xml文件里面进行过滤,可以参考这里:

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
除了文章中有特别说明,均为IT宅原创文章,转载请以链接形式注明出处。
本文链接:http://www.itzhai.com/jsoup-html-xss-program.html
关键字:
arthinking Java技术交流群:280755654,入门群:428693174 more
分享到:
 
2015 3/9
如果您有更好的原创技术博文或者观点,欢迎投稿:admin@itzhai.com,或者关注订阅左侧浮动面板的微信号订阅IT宅itread)发送消息。
文章评论
    没有评论
给我留言

有人回复时邮件通知我
J2EE的相关文章
随机文章 本月热门 热评
1 Programmers’ faith 2012/2/23
2 IE6下常见的几个CSS兼容问题 2011/4/10
3 ubuntu下安装Bochs虚拟机的方法及其可能遇到的make问题 2011/4/29
4 Hibernate多对一关联映射原理、映射方法和数据的保存 2011/5/29
5 IKAnalyzer结合Lucene使用和单独使用例子 简单性能测试 2014/6/2
6 关于学习底层编程和高级语言的区别与联系 2011/5/4
友情推荐 更多
破博客 文官洗碗安天下,武将打怪定乾坤。多么美好的年代,思之令人泪落。
Mr.5's Life 白天是一名程序员,晚上就是个有抱负的探索者
行知-追寻技术之美 关注大数据,分布式系统
我爱编程 编程成长轨迹
Cynthia's Blog 学习笔记 知识总结 思考感悟
 
猜您喜欢
欢迎关注我的公众号 IT宅
关于IT宅 文章归档

IT宅中的文章除了标题注明转载或有特别说明的文章,均为IT宅的技术知识总结,学习笔记或随笔。如果喜欢,请使用文章下面提供的分享组件。转载请注明出处并加入文章的原链接。 感谢大家的支持。

联系我们:admin@itzhai.com

Theme by arthinking. Copyright © 2011-2015 IT宅.com 保留所有权利.