[Jsoup] 使用Jsoup消除不受信任的HTML (防止XSS攻击)

最新推荐文章于 2021-12-09 14:37:24 发布
最新推荐文章于 2021-12-09 14:37:24 发布
阅读量1.1w 收藏 15
点赞数 2
文章标签: Jsoup XSS whitelist
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dietime1943/article/details/78470750
版权

这个标题源意来源于官方的cookbook:《Sanitizeuntrusted HTML (to prevent XSS)》本篇文章非原cookbook的译文,紧借用标题。如想查看原Cookbook中文版请自行查找。关于什么是Jsoup, 什么是XSS攻击, 本文亦不在赘述, 请参看本博客的[Jsoup in action]专栏和Cyber Security分类文章。

防止XSS攻击的策略个人总结大致有几种:

  • 使用正则设置白名单/黑名单进行过滤
  • 通过dom对象进行黑名单/白名单的过滤
  • 使用第三方类库Jsoup/AntiXSS等进行过滤HTML标签来防止XSS

本文章将主要介绍使用Jsoup消除不受信任的HTML来防止XSS攻击

1. 如何使用Jsoup进行清除HTML标签操作

使用Jsoup的clean 方法进行清除HTML标签操作(该方法位于JsoupAPI:org.jsoup.Jsoup下)。

static String clean(String strHTML, Whitelist whitelist)

该方法会清除在你所指定的白名单whitelist中的所有HTML标签。默认的Jsoup提供了5种Whitelistorg.jsoup.safety.Whitelist)的API,
具体介绍如下:

  1): none()
    该API会清除所有HTML标签,仅保留文本节点。

  2): simpleText()
    该API仅会保留b, em, i, strong, u 标签,除此之外的所有HTML标签都会被清除

  3): basic()
    该API会保留 a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, span, strike, strong, sub, sup, u, ul 和其适当的属性标签,除此之外的所有HTML标签都会被清除,且该API不允许出现图片(img tag)。另外该API中允许出现的超链接中可以允许其指定http, https, ftp, mailto 且在超链接中强制追加rel=nofollow属性。

  4): basicWithImages()
    该API在保留basic()中允许出现的标签的同时也允许出现图片(img tag)和img的相关适当属性,且其src允许其指定 httphttps

  5): relaxed()
    该API仅会保留 a, b, blockquote, br, caption, cite, code, col, colgroup, dd, div, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, span, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul 标签,除此之外的所有HTML标签都会被清除,且在超链接中不会强制追加rel=nofollow属性

Jsoup提供了默认的5个白名单过滤器,在此基础上你也可以进行过滤器的扩展和自定义,方法见下文

2. 如何使用Whitelist过滤器进行清除HTML标签操作

创建适当Whitelist对象,使用clean方法进行清除HTML标签操作,示例代码如下:

import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;

public class JsoupWhitelist {

    public static void main(String[] args) {
        String strHTML = "<html>" +
                "<head>" +
                "<title> Clean HTML By Jsoup Whitelist</title>" +
                "</head>" +
                "<body bgcolor=\"000000\">" +
                "<center><img src=\"image.jpg\" align=\"bottom\"> </center>" +
                "<hr>" +
                "<a href=\"http://blog.csdn.net/dietime1943\">bluetata</a>" +
                "<h1>heading tags H1</h1>" +
                "<h2>heading tags H2</h2>" +
                "My email link <a href=\"mailto:dietime1943@gmail.com\">" +
                "dietime1943@gmail.com</a>." +
                "<p>Para tag</p>" +
                "<p><b>bold paragraph</b>" +
                "<br><b><i>bold italics text.</i></b>" +
                "<hr>Horizontal line" +
                "</body>" +
                "</html>";
        
        //clean HTML using none whitelist (remove all HTML tags)
        String cleanedHTML = Jsoup.clean(strHTML, Whitelist.none());
        System.out.println("None whitelist");
        System.out.println(cleanedHTML);
 
        System.out.println("===================================");
        
        //clean HTML using relaxed whitelist
        cleanedHTML = Jsoup.clean(strHTML, Whitelist.relaxed());
        System.out.println("Relaxed whitelist");
        System.out.println(cleanedHTML);
    }
}

控制台打印结果:

None whitelist
Clean HTML By Jsoup Whitelist bluetataheading tags H1heading tags H2My email link dietime1943@gmail.com.Para tagbold paragraphbold italics text.Horizontal line
===================================
Relaxed whitelist
Clean HTML By Jsoup Whitelist
<img align="bottom"> 
<a href="http://blog.csdn.net/dietime1943">bluetata</a>
<h1>heading tags H1</h1>
<h2>heading tags H2</h2>My email link 
<a href="mailto:dietime1943@gmail.com">dietime1943@gmail.com</a>.
<p>Para tag</p>
<p><b>bold paragraph</b><br><b><i>bold italics text.</i></b></p>Horizontal line

3. 扩展Jsoup默认白名单过滤器,对Whitelist过滤器进行扩展

默认的whitelist过滤器分别已经指定了哪些HTML标签可以保留亦或哪些HTML标签会被强制清除掉,如果想要自定义过滤器(强制保留某些html标签)该怎么办呢?Jsoup的Whitelist提供了addTags方法,利用该方法可以对whitelist进行自定义扩展:

public Whitelist addTags(String... tags)

以下示例为仅保留 <div> 标签,并清除div标签外的所有html标签:

        String strHTML = "<html>" +
                "<head>" +
                "<title>retain specific tags</title>" +
                "</head>" +
                "<body bgcolor=\"000000\">" +
                "<a href=\"http://blog.csdn.net/dietime1943\">bluetata</a>" +
                "<h1>heading tag H1</h1>" +
                "<div>div tag content</div>" +
                "</body>" +
                "</html>";
         
        String cleanedHTML = Jsoup.clean(strHTML, Whitelist.none().addTags("div"));
         
        System.out.println(cleanedHTML);

控制台打印结果:

retain specific tagsbluetataheading tag H1
<div>
 div tag content
</div>

Jsoup学习讨论QQ群:50695115

Jsoup爬虫代码示例及博客内源码下载:https://github.com/bluetata/crawler-jsoup-maven

更多Jsoup相关文章,请查阅专栏:【Jsoup in action】


本文原创由`bluetata`发布于blog.csdn.net、转载请务必注明出处。


Flag Counter

bluetata
关注
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1095
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清...
SpringBoot2 学习笔记(四)——使用Jsoup防御XSS攻击
haliaddel的博客
12-15 627
什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名...
使用Jsoup消除不受信任HTML (来防止XSS攻击)
SiC B2B2C Shop大型B2B2C商城软件产品,使用Java语言开发,高性能高扩展性高安全性分布式。可帮助你快速的建立大型B2B2C电商系统
05-20 678
  问题--XSS攻击 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。   方法--过滤 可以选用的工具有: Jsoup 是一款 Java 的HTML 解析器,可直接解析某个URL地...
防止XSS攻击的方法-使用白名单过滤html标签
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
03-14 6458
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容 解决方法一:jsoup工具类 org.jsoup j
Springboot防止XSS跨站脚本攻击
菜狗小仪的博客
11-18 644
系统渗透测试时被监测存在可利用XSS漏洞,解决方法如下: 1、Maven引用 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 2、HtmlFilter过滤类 使用Jsoup对相应内容进行过滤。 jsoup是一个HTML
使用Jsoup防止XSS攻击
刘迪敏的专栏
01-17 3211
树挪死,人挪活。 大城市小人物,生活最终会把你变成你讨厌的人。 前阵子项目国测后,打开一个项目页面,莫名其妙弹出xss,搜了全局也没找到alert("xss"),问了一下项目经理,原来是国测做防注入的时候,在添加数据的时候做的,一脸懵逼。 查了一下资料,以前做项目的时候都没想到这个问题,如果保存一段script脚本,查数据的时候,这段脚本就会被执行,这东西后果挺严重啊,如果是在桌面外弹框...
使用java的HTML解析器 jsoup防止XSS攻击
努力让自己更优秀的博客
09-08 1657
1,基本概念 jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。 2,使用jsoup能够做什么 1&amp;amp;amp;amp;gt; 从URL,文字或者字符串中解析HTML; 2&amp;amp;amp;amp;gt;查找和提取数据,使用DOM遍历或者CSS选择器; 3&amp;amp;am
JSoup快速入门-java解析html源码
xqhys的博客
03-15 3767
转发:https://www.yiibai.com/jsoup/jsoup-quick-start.html soup是用于解析HTML,就类似XML解析器用于解析XML。 Jsoup它解析HTML成为真实世界的HTML。 它与jquery选择器的语法非常相似,并且非常灵活容易使用以获得所需的结果。 在本教程中,我们将介绍很多Jsoup的例子。 能用Jsoup实现什么? 从URL,文件或字符...
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 JsoupXSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现...
Java中使用开源库JSoup解析HTML文件实例
10-25
此外,JSoup还提供了安全措施,通过白名单机制来避免跨站脚本攻击(XSS),这在处理用户提交的内容时非常重要。 接下来,让我们通过一个具体的例子来了解如何在Java程序中使用JSoup解析HTML文件。假设我们有一个简单...
Jsoup学习之Whitelist
热门推荐
Eliot
06-21 1万+
Whitelist类 一、类结构 java.lang.Object   org.jsoup.safety.Whitelist public class Whitelist         extends      Object Whitelist类定义了一些可以被保留的标签和属性,不属于这个范围的标签和属性的都要被删除。 默认的配置方法有: none() simp
jsoup的白名单消除xss隐患
一名普通码农的菜地
04-24 6080
http://my.oschina.net/itsoku/blog/166890
Jsoup 防止富文本 XSS 攻击
波板糖的博客
11-05 1601
Jsoup 防止富文本 XSS 攻击 服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求 实现原理 Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTM...
富文本编辑器过滤XSS注入(JSOUP
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
使用 Jsoup 防御 XSS 攻击
编码行者的博客
05-07 1647
跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 使用 Jsoup 可以有效的过滤不安全的代码。Jsoup 使用白名单的机制来预防 XSS 攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都
20190819 使用jsoup解决xss(跨站脚本攻击)威胁
hhcccchh的专栏
08-19 651
1. 在介绍jsoup之前,首先来详细介绍一下关于xss的信息。 1.1 什么是xss Cross-Site Scripting(XSS)是一类注入问题,恶意脚本被注入到健康的、可信任的网站。当一个攻击者通过一个网站应用程序, 以浏览器端脚本的形式,给另一端的用户发送恶意代码时,XSS攻击就发生了。允许这种攻击成功的缺陷广泛存在于各个大小网站, 只要这个网站某个页面将用户的输...
开源项目——实现XSS过滤Cookie过滤拦截器(二)
CN華少的博客
08-23 1186
开源项目——实现XSS过滤Cookie过滤拦截器(二) 背景 日常我们开发人员在开发一些常用的平台时都会用到各种各样的接口,而对于这些接口的有效管理都会成为我们的一些麻烦事,一些常见的接口管理平台我们使用起来又不是很顺手,因此我想进行编写一个自己的API接口平台,用于我们日常的一些接口快速开发和管理共享使用。 里面会涉及到各类开发的知识,每项知识我们都会进行同步发布相应的学习记录文章,以便于想要学...
使用Jsoup防御XSS攻击
兴趣是最好的老师
12-09 2596
使用Jsoup防御XSS攻击 | MrBird
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bluetata

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值