扩展自jsoup的HTML XSS过滤程序
本文由发表于4年前 | J2EE

当我们使用富文本编辑器的时候,为了确保存储的内容没有XSS注入问题,比较安全的做法是对输入的内容进行过滤。

常见的XSS注入方式可以参考这里:

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet

Jsoup中提供给了白名单过滤的功能,但是并没有对属性进行校验,而属性中可能包含JS脚本或者是CSS注入,所以除了设置白名单的标签和属性之外,也需要对属性进行过滤。以下是一个过滤程序,允许你对属性进行自定义的过滤设置,并且允许动态的刷新白名单列表,方便在运行时增减支持从标签。

https://github.com/arthinking/java-code/tree/master/src/main/java/me/arthinking/html/jsoup/custom

还有另一种解决XSS的思路,就是严格的限制每一个标签和输入的属性值,只有符合声明的规则的HTML文本才允许校验通过,AntiSamy正是基于这个思路的,通过把符合安全规则的标签和属性值都通过正则的方式写入到了xml文件里面进行过滤,可以参考这里:

https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
除了文章中有特别说明,均为IT宅原创文章,转载请以链接形式注明出处。
本文链接:http://www.itzhai.com/jsoup-html-xss-program.html
关键字:
arthinking 指弹吉他 && 技术 more
分享到:
 
2015 3/9
如果您有更好的原创技术博文或者观点,欢迎投稿:admin@itzhai.com,或者关注订阅左侧浮动面板的微信号订阅IT宅itread)发送消息。
文章评论
    没有评论
给我留言

有人回复时邮件通知我
J2EE的相关文章
随机文章 本月热门 热评
1 JSF笔记 – JSF消息FacesMessage的使用 2011/12/4
2 【转】关于用户体验的三个反思 2013/11/6
3 如何把复杂单体应用快速迁移到微服务 2018/7/5
4 任何不以学习知识为目的的考试都是耍流氓-软件工程导论试题 2011/7/4
5 Eclipse的Javascript校验卡住的问题 2014/7/15
6 Java基础笔记 – 反射机制的介绍和基本的API的使用 2011/10/7
友情推荐 更多
破博客 文官洗碗安天下,武将打怪定乾坤。多么美好的年代,思之令人泪落。
行知-追寻技术之美 关注大数据,分布式系统
我爱编程 编程成长轨迹
Cynthia's Blog 学习笔记 知识总结 思考感悟
 
猜您喜欢
欢迎关注我的公众号 IT宅
关于IT宅 文章归档

IT宅中的文章除了标题注明转载或有特别说明的文章,均为IT宅的技术知识总结,学习笔记或随笔。如果喜欢,请使用文章下面提供的分享组件。转载请注明出处并加入文章的原链接。 感谢大家的支持。

联系我们:admin@itzhai.com

Theme by arthinking. Copyright © 2011-2015 IT宅.com 保留所有权利.