XSS - html过滤

最新推荐文章于 2024-02-10 01:05:45 发布
最新推荐文章于 2024-02-10 01:05:45 发布
阅读量123 收藏
点赞数
原文链接:http://www.cnblogs.com/chencidi/p/5921216.html
版权
JS 根据白名单过滤HTML
http://jsxss.com/zh/index.html

 

方案一:

java的一个方案, 可以参考:  http://winnie825.iteye.com/blog/1170833

用xml保存一些过滤信息

<?xml version="1.0" encoding="UTF-8"?>
<XSSConfig>
    <!-- 是否进行header校验 -->
    <isCheckHeader>false</isCheckHeader>
    <!-- 是否进行parameter校验 -->
    <isCheckParameter>true</isCheckParameter>
    <!-- 是否记录日志 -->
    <isLog>true</isLog>
    <!-- 是否中断请求 -->
    <isChain>false</isChain>
    <!-- 是否开启特殊字符替换 -->
    <replace>true</replace>
    <!-- 是否开启特殊url校验 -->
    <isCheckUrl>true</isCheckUrl>
    <regexList>
        <!-- 匹配含有字符: alert( ) -->
        <regex><![CDATA[.*[A|a][L|l][E|e][R|r][T|t]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: window.location = -->
        <regex><![CDATA[.*[W|w][I|i][N|n][D|d][O|o][W|w]\\.[L|l][O|o][C|c][A|a][T|t][I|i][O|o][N|n]\\s*=.*]]></regex>
        <!-- 匹配含有字符:style = x:ex pression ( ) -->
        <regex><![CDATA[.*[S|s][T|t][Y|y][L|l][E|e]\\s*=.*[X|x]:[E|e][X|x].*[P|p][R|r][E|e][S|s]{1,2}[I|i][O|o][N|n]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: document.cookie -->
        <regex><![CDATA[.*[D|d][O|o][C|c][U|u][M|m][E|e][N|n][T|t]\\.[C|c][O|o]{2}[K|k][I|i][E|e].*]]></regex>
        <!-- 匹配含有字符: eval( ) -->
        <regex><![CDATA[.*[E|e][V|v][A|a][L|l]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: unescape() -->
        <regex><![CDATA[.*[U|u][N|n][E|e][S|s][C|c][A|a][P|p][E|e]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: execscript( ) -->
        <regex><![CDATA[.*[E|e][X|x][E|e][C|c][S|s][C|c][R|r][I|i][P|p][T|t]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: msgbox( ) -->
        <regex><![CDATA[.*[M|m][S|s][G|g][B|b][O|o][X|x]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: confirm( ) -->
        <regex><![CDATA[.*[C|c][O|o][N|n][F|f][I|i][R|r][M|m]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: prompt( ) -->
        <regex><![CDATA[.*[P|p][R|r][O|o][M|m][P|p][T|t]\\s*\\(.*\\).*]]></regex>
        <!-- 匹配含有字符: <script> </script> -->
        <regex><![CDATA[.*<[S|s][C|c][R|r][I|i][P|p][T|t]>.*</[S|s][C|c][R|r][I|i][P|p][T|t]>.*]]></regex>
        <!-- 匹配含有字符: 含有一个符号: "  -->
        <regex><![CDATA[[.&[^\"]]*\"[.&[^\"]]*]]></regex>
        <!-- 匹配含有字符: 含有一个符号: '  -->
        <regex><![CDATA[[.&[^']]*'[.&[^']]*]]></regex>
        <!-- 匹配含有字符: 含有回车换行 和 <script> </script> -->
        <regex><![CDATA[[[.&[^a]]|[|a|\n|\r\n|\r|\u0085|\u2028|\u2029]]*<[S|s][C|c][R|r][I|i][P|p][T|t]>.*</[S|s][C|c][R|r][I|i][P|p][T|t]>[[.&[^a]]|[|a|\n|\r\n|\r|\u0085|\u2028|\u2029]]*]]></regex>
    </regexList>
</XSSConfig>

 

 

方案二:

http://blog.csdn.net/catoop/article/details/50338259

转载于:https://www.cnblogs.com/chencidi/p/5921216.html

aixian3620
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
HTML过滤器,用于去除XSS漏洞隐患
阿瑞瑞
07-08 532
import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurrent.ConcurrentMap; import java.util.regex.Matcher; impo.
html标签%3ca%3e隐藏,XSS过滤绕过
weixin_39916520的博客
06-10 339
事件处理器不需要用户交互的可执行js的事件处理器:onreadystatechange(xml,style,iframe,object,img,input,isindex,bground)onpropertychangeonbeforeactivateonfocusinonactivate注意:在HTML5中,结束标签中也可以使用事件处理器脚本伪协议脚本伪协议可以用在各种位置,在需要URL的属性中...
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
lucy-xss-filter
04-30
如果将过滤器与白名单方法一起使用,它将为XSS攻击的网站提供比使用黑名单方法的现有过滤器更严格的安全措施。 同时支持DOM和SAX解析器。XssPreventer 使用apache-common-lang3库防止XSS攻击。 只需按如下所示转换...
第六节 HTML事件中的XSS-01
09-15
为了防止XSS攻击,需要遵守安全编码实践,例如对用户输入进行验证和编码,并且需要对输出进行编码和过滤。此外,需要对HTML事件处理器进行严格的限制和验证,以防止攻击者注入恶意代码。 结论 ---- HTML事件中的...
xss-labs靶场通关
10-13
第六关源码使用str_replace函数将替换为空,但是这个函数并没有将所有的xss payload都过滤掉,我们可以使用其他方法来绕过过滤,触发xss攻击。 xss-labs靶场的六关源码展示了xss攻击的多种形式和方法,每一关都有其...
第十六节 unicode绕过过滤触发XSS-01
09-15
Unicode绕过过滤触发XSS-01 Unicode绕过过滤触发XSS是指攻击者通过使用Unicode字符来绕过Web应用程序的输入验证和过滤机制,从而触发跨站脚本(XSS)攻击。下面将详细介绍Unicode绕过过滤触发XSS的原理和实现方法。...
xss-labs挑战(一) 1
08-08
本文将详细介绍 XSS-labs 挑战(一)1 的知识点,包括挑战的安装、Level 1 无过滤机制、Level 2 闭合标签、Level 3 单引号闭合+htmlspecialchar()函数、Level 4 双引号闭合+添加事件、Level 5 javascript 伪协议等。...
html表达式 %3c,避开XSS过滤常用方法
weixin_32528123的博客
06-23 528
0x01 许多过滤匹配特殊的标签,包括起始与结束尖括号。但是,许多浏览器接受结束括号前的空白符,允许攻击者轻易避开这种过滤。例如:0x02 因为许多人用小写字符编写HTML代码,所以一些过滤仅检查常用的小写恶意标签。例如:,通过改变字符大小写避开过滤。0x03 一些过滤匹配任何成对的起始与结束尖括号,删除其中的任何内容,但通常可以依靠周围现有的语法,结束注入的标签,从而避开这种过滤。例如:可以控制...
HTML Purifier --非常好用的XSS过滤
u010128133的博客
06-27 5984
# HTML Purifier # >前言:最近因公司项目需要做 HTML 标签过滤,同事推荐了 HTML Purifier 。 >使用过程中虽然因为英文太差(英文文档,网上相关博客比较少)的原因浪费了很多时间,但完成配置设置之后的使用过程还是比较方便的。 >因此在此写下经理的过程以作记录,也说不定能帮助到别人 ### HTML Purifier 简介 ### [HTML Pur
根据白名单过滤 HTML(防止 XSS 攻击)
xu990128638的专栏
02-08 415
D:\open_source\t1eexx>npm install xss --registry=registry.npm.taobao.org -S npm WARN invalid config registry="registry.npm.taobao.org" npm WARN invalid config Must be a full url with 'http://' npm WARN safety-code@1.0.0 No description npm WARN safe...
你真的会过滤XSS吗?5分钟深刻理解htmlspecialchars函数
最新发布
cul1n的博客
02-10 1685
一个很常见的现象 ,我们去搜索如何防御 XSS 攻击的时候,经常会看到一种防御方式就是使用,印象里之前在初学阶段,面试官在问及我如何防御 XSS 漏洞的时候,我也最喜欢说使用去过滤,那这种过滤方法真的安全吗?今天在这篇文章里我们主要涉及到讨论的过滤效果及不同效果是否存在漏洞及配套的绕过手法。函数是 PHP 中的一个内置函数,它用于将特定的 HTML 字符转换为 HTML 实体字符。在 HTML 中,某些字符如, 和具有特殊含义,分别代表HTML标签、结束标签、字符引用和实体引用。
xss html标签,BeautifulSoup模块过滤html标签,只拿文本内容(处理XSS攻击)
weixin_29305337的博客
06-27 519
from bs4 import BeautifulSoup#kindeditordef kindeditor(request):s = '''默认值: false'''bs = BeautifulSoup(s,"html.parser")print(bs.text)return render(request,"KindEditor.html")结果:只获取到了 默认值: falses = ''...
防止存储式XSS攻击过滤HTML
勤学、勤思
05-25 373
防止存储式XSS攻击过滤HTML package net.sf.xsshtmlfilter; import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurre..
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
xss过滤技巧
Richard_qi的博客
04-11 3583
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
js-xss-master/dist/test.html
10-02
js-xss-master/dist/test.html是js-xss库的一个测试页面。 js-xss是一个用于防御跨站点脚本攻击(XSS)的JavaScript库。它通过对输入的 HTML 进行过滤和转义,确保只有被允许的标签和属性能够被渲染,阻止恶意脚本的执行。 test.html是用来测试js-xss库功能的一个页面。在这个页面中,可以输入一段HTML代码,并点击"Filter"按钮,来看过滤后的结果。通过测试页面,可以验证js-xss库是否能够正确地对输入的HTML代码进行过滤,并防止XSS攻击。 在进行测试时,我们可以输入一些常见的XSS攻击向量,如 ```<script>alert('xss')</script>``` ,然后点击"Filter"按钮,观察过滤结果是否能够消除恶意脚本,并保留合法的HTML标签和属性。 js-xss库的使用对于提高网站的安全性非常重要,它可以防止攻击者通过注入恶意脚本来窃取用户的信息、篡改页面内容等恶意行为。对于开发者来说,使用js-xss库可以辅助实现对用户输入的安全过滤,有效地提升网站的安全性。 总之,js-xss-master/dist/test.html是js-xss库提供的一个测试页面,用于验证库的功能是否正常,能够有效地防御XSS攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值