富文本编辑器防xss攻击

最新推荐文章于 2024-04-26 09:27:37 发布
最新推荐文章于 2024-04-26 09:27:37 发布
阅读量1.7w 收藏 3
点赞数 1
分类专栏: nodejs express 文章标签: 文本编辑 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/changhuzhao/article/details/72472025
版权

在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。
对于常见的web安全问题,可以参考 web安全(入门篇)

现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找:

  • 推荐使用UEditor

  • 使用ESAPI

推荐使用UEditor

在多个项目中使用了UEditor,在使用上比较顺手,而且它一直在更新维护,最重要的是它注重修复其潜在的xss漏洞。这将有效的防止xss攻击。

使用ESAPI

针对不同的开发语言,ESAPI有多个不同版本相对应。比如Java,PHP,.NET,Python,Classic ASP,Cold Fusion,Node

以node为例

node-esapi is a minimal port of the ESAPI4JS (Enterprise Security API for JavaScript) encoder.

-Installation

$ npm install node-esapi

-Usage

var ESAPI = require('node-esapi');
ESAPI.encoder().encodeForHTML('<p>This is a test</p>');

-Encoder Functions

The encoder() returns an object with the following main functions:

encodeForHTML
encodeForCSS
encodeForJS = encodeForJavaScript = encodeForJavascript
encodeForURL
encodeForHTMLAttribute
encodeForBase64

-Middleware

The ESAPI has a function for creating express middleware to serve client side scripts of ESAPI.

app.use(ESAPI.middleware());

// Now in your HTML you can do
<script src="/esapi/esapi.js"></script>
<script src="/esapi/resources/i18n/ESAPI_Standard_en_US.properties.js"></script>
<script src="/esapi/resources/Base.esapi.properties.js"></script>
<script>
    org.owasp.esapi.ESAPI.initialize();
    //Here you have access to the $ESAPI object and can do
    $ESAPI.encoder().encodeForHTML('<p>This is a test</p>');
</script>

node防xss还有一个可选用的插件 –xss

-安装
NPM

$ npm install xss

Bower

$ bower install xss

或者

$ bower install https://github.com/leizongmin/js-xss.git

-使用方法
-在Node.js中使用

var xss = require('xss');
var html = xss('<script>alert("xss");</script>');
console.log(html);

-在浏览器端使用
Shim模式(参考文件 test/test.html):

<script src="https://raw.github.com/leizongmin/js-xss/master/dist/xss.js"></script>
<script>
// 使用函数名 filterXSS,用法一样
    var html = filterXSS('<script>alert("xss");</scr' + 'ipt>');
    alert(html);
</script>

AMD模式(参考文件 test/test_amd.html):

<script>
    require.config({
      baseUrl: './',
      paths: {
        xss: 'https://raw.github.com/leizongmin/js-xss/master/dist/xss.js'
      },
      shim: {
        xss: {exports: 'filterXSS'}
      }
    });
    require(['xss'], function (xss) {
      var html = xss('<script>alert("xss");</scr' + 'ipt>');
      alert(html);
    });
</script>
琥珀光洁-衍钧
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9629
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
挖洞经验|UEditor编辑器存储型XSS漏洞
MachineGunJoe666
05-29 3320
前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞,编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。 漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做过滤,怪不得好多二次开发的。 //纯文本粘贴模式下的过滤规则 //'filterT
技术分享-ueditor漏洞利用&源码分析超详细分析
最新发布
zz12345600354的博客
04-26 621
ueditor的漏洞主要存在于其上传功能中,攻击者可以利用上传漏洞将恶意脚本上传到服务器,从而获取服务器的控制权或者进行其他恶意行为。攻击者一般通过修改上传文件的后缀名或者修改文件内容的方式来绕过服务器的安全检测。ueditor的上传功能在其server下的文件Uploader.cs中实现。Uploader.cs中主要实现了文件上传的功能,并且包含了一些安全检测的代码。其中,一个重要的安全检测就是检测上传文件的后缀名是否在指定的白名单之内。
百度编辑器UEditor自用问题记录(发现一个记录一个)
weixin_45383558的博客
08-03 284
设置ueditor.config.js中的过滤规则,在P标签的属性中加入data-background,在获取html文本就包含了背景设置。:UEditor编辑器为了防止xss攻击,默认过滤了P标签的data-background属性,不能设置页面的背景样式。设置背景,无论是纯色或是网络图片,最终拿到的content没有background属性。
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
js 前端xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9689
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
vue 用vue-ueditor-wrap 富文本编辑器发送请求,华为云xss报418恶意攻击解决办法
xm_w_xm的博客
05-21 1004
一、XSS攻击原因 首先了解一下为什么会xss攻击,因为我们用的富文本编辑器是vue-ueditor-wrap,所以他编写好的是一个html,所以他就会报xss攻击富文本编辑器是这样的 可以看到我们编辑后的值是这样的我们传了他的html,因为他是含有他的id和class, http://jsxss.com/zh/index.html 这个是xss文档 二、XSS安装与使用 我用的是vue $ npm install xss var xss = require('xss'); ...
XSS 御方法总结
一起记录GIS学习
07-21 4565
1.XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自.
ESAPI使用
yu_ber的博客
08-08 806
【代码】ESAPI使用。
TinyMCE富文本编辑器资源包
02-23
TinyMCE是一款强大的开源富文本编辑器,广泛应用于网页内容编辑和内容管理系统中。这个"TinyMCE富文本编辑器资源包"包含了TinyMCE的最新版本——版本6的相关资源,旨在提供一个功能完备、易用且高度可定制的文本编辑...
ueditor_jsp 百度富文本编辑器
01-03
**百度富文本编辑器——ueditor1_4_3_3-utf8-jsp详解** 在Web开发中,富文本编辑器(Rich Text Editor)扮演着至关重要的角色,它允许用户在网页上创建和编辑带有格式的文本,如字体、颜色、大小、对齐方式等。...
esapi4js-0.1.2.zip下载包
05-07
前端防止XSS攻击安全包,esapi4js适合用在前端,使用前请先阅读readme
富文本编辑器组件.zip
03-06
富文本编辑器是一种在网页或应用程序中用于创建和编辑复杂文本格式的工具,它提供了丰富的文本格式化选项,如加粗、斜体、下划线、颜色调整、字体选择、段落样式等。在前端开发中,富文本编辑器是构建内容管理系统、...
富文本编辑器组件.rar
03-04
在开发富文本编辑器时,开发者需要考虑的问题包括跨浏览器兼容性、性能优化、用户体验、安全性(防止XSS攻击)等。现有的富文本编辑器有很多开源解决方案,如CKEditor、TinyMCE、Quill、Draft.js等,它们各有优缺点...
PHP版百度富文本编辑器ueditor
08-08
**PHP版百度富文本编辑器ueditor** 在Web开发中,富文本编辑器是不可或缺的工具,它允许用户以类似于Microsoft Word的方式创建和编辑内容,然后以HTML格式存储。其中,百度开发的ueditor是一款非常受欢迎的开源富...
富文本编辑器过滤XSS注入(JSOUP)
热门推荐
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 768
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
php富文本中防止xss,【PHP】富文本HTML过滤器:HTMLPurifier使用教程(防止XSS
weixin_42300879的博客
04-01 323
本来转载自:www.ttkmwl.com --最全面的程序代码下载论坛-通天源码论坛 在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发 表评论,发表日志)时往Web页面里插入恶意JavaScript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例 如登录表单的acti...
OWASP TOP 10
weixin_45515936的博客
04-01 311
OWASP TOP 10 13年版已升级-2017版本 参考: https://blog.csdn.net/wang_624/article/details/89683571?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522159198134219725211934408%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=15919813
手写 editor web 富文本编辑器
05-18
手写富文本编辑器需要掌握 HTML、CSS、JavaScript 等前端技术,同时了解富文本编辑器的实现原理。...需要注意的是,手写富文本编辑器需要考虑到兼容性和安全性问题,比如跨浏览器支持、防止 XSS 攻击等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值