XSS 防御之 AntiSamy

最新推荐文章于 2023-05-01 08:15:00 发布
VIP文章 最新推荐文章于 2023-05-01 08:15:00 发布
阅读量390 收藏 1
点赞数
文章标签: javascript java 前端 ViewUI
原文链接:https://my.oschina.net/u/2563695/blog/3063816
版权

1.前言

传统 xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。

2.AntiSamy 简介

AntiSamy 是 OWASP 的一个开源项目,分为 Java 和 .Net 版。AntiSamy 是通过对用户输入的内容进行检查,根据策略过滤非法字符,确保输入的安全性。AntiSamy 被广泛应用于 Web 服务对存储型和反射型 XSS 的防御中。
Antisamy 的对包含非法字符的过滤依赖于策略文件,策略文件规定了 AntiSamy 对各个标签、属性的处理方法。策略文件定义的严格与否,决定了AntiSamy 对 xss 漏洞的防御效果。

3.策略文件

Antisamy有五种策略文件模版,用户可以根据场景选择。

antisamy-anythinggoes.xml    非常危险,允许HTML、CSS、Javascript通过
antisamy-ebay.xml    相对安全,对内容进行过滤。适用于电子商务网站,允许用户输入HTML脚本作为页面的一部分
antisamy-myspace.xml 相对危险,适用于社交网站,允许用户输入作为整个页面
antisamy-slashdot.xml    适用于新闻网站的评论过滤
antisamy-tinymce.xml 相对安全,只允许文本格式通过

策略文件为 xml 格式,除去 xml 文件头外,可以为七个部分,各部分的详细描述请参见:AntiSamy 策略文件详解。其中,重点关注 <tag-rules> 部分,此部分负责标签的处理策略(remove、truncate、validate)。

4.使用方法

4.1 到 AntiSamy 官网下载策略文件,拷贝到项目中。

4.2 maven 导入 jar 包。

&
最低0.47元/天 解锁文章
chongdanshi5995
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
AntiSamy的使用总结
rqz__的博客
04-09 399
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
AntiSamy防跨站脚本攻击(XSS)快速入门
我要记录学习博客
08-29 880
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3324
AntisamyXSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
XSS脚本攻击防御Antisamy)(上)
Vi_error.nextval
01-11 1684
XSS脚本攻击防御Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御...
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7060
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 2650
XSS 是跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
免费下载 antisamy策略文件及其使用说明.zip
08-20
antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml
基于Antisamy项目实现防XSS攻击
aqsswe的博客
10-23 1134
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
Springboot 实战一个依赖解决XSS攻击
热门推荐
LoveSummer
05-01 4万+
Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 9878
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
xss (跨站脚本攻击) 解决方案之 antisamy
小戈的播客
05-18 2727
问题原因:对网站用户提交的数据(请求数据)未做处理。 XXS原理分析参考:http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接 解决方案:引入开源antisamy框架 解决过程: 1.导入依赖 maven依赖: dependencies>     dependency>     groupId>o
使用antisamy防范XSS攻击及常用antisamy策略文件
小李专栏
12-20 4469
一般情况下,你可以在预定义的策略文件中找到一个与你站点需求大致匹配的AntiSamy策略文件。这些策略各自代表了一个典型的应用场景,来允许用户提交HTML(可能还有CSS)内容。让我们具体的看一下这些策略文件
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2500
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSSXSS分为以下两种类型
XSS跨站攻击解决办法--AntiSamy的配置及使用
flying_pig1989的博客
01-24 4134
XSS跨站攻击         跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
AntiSamy防御XSS攻击
最新发布
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值