富文本输出如何避免XSS

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量2.9k 收藏 5
点赞数
分类专栏: web安全 文章标签: xss 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/130644935
版权

    有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。

     在写具体的解决方案之前,分别通过讯飞的星火系统进行了测试,回答如下:

回复说答案不对,重新再回答时,回答的依然是一模一样的。 最关键的是第二条解决方案明显不合适,“2.对特殊字符进行转义:对于HTML标记、脚本语言等特殊字符,需要对其进行转义,以防止它们被浏览器解析为有意义的内容。例如,将<替换为&lt;,将>替换为&gt;,将"替换为&quot;等。”   富文本是不能进行这种转换的,否则,富文本就不是富文本了,就变成文本了。所以,答案是错误的。

再尝试一下,chatgpt,同样的问题,答复如下:

关于ChatGpt的回答也出现在第二条上有一些问题:“输出过滤:在将富文本内容显示在页面上时,应该使用HTML过滤器和转义函数等安全措施来过滤和转义特殊字符,以避免恶意脚本代码被执行。 ”, 这里说的也没有具体说明哪些字符要转义。

于是进一步追问: 要转移哪些字符?

 其实,单引号和双引号转义会导致一些问题的,例如,富文本输入时,会带有标签的属性,而这些属性的值,一般都会使用单引号或者双引号。所以,转义在处理富文本时,一般不建议使用。

其实,星火和chatgpt给出的第一条是一般都采用的解决方案,就是过滤不安全的html标签【例如:script等】和某些危险的属性【例如:onclick等】。

对于过滤业界也有一些比较成熟的库可以使用:

1) antisamy,OWASP AntiSamy | OWASP Foundation

这个由OWASP提供的库,提供过滤HTML标签和属性的功能,提供了丰富的policy。具体实现代码可以参考:GitHub - OWASP/java-html-sanitizer: Takes third-party HTML and produces HTML that is safe to embed in your web application. Fast and easy to configure.

2) googlecode里的owasp java html sanitizer

提供了一个基础的策略,可以基于这个基础策略进行修改,使用的是owasp的policy builder类:org.owasp.html.HTMLPolicyBuilder,通过allowAttributes和allowElements添加支持的标签和属性。经过测试默认的策略里,img标签是不支持src是base64格式的数据的,所以如果想支持

<img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUAAAAFCAYAAACNbyblAAAAHElEQVQI12P4
  //8/w38GIAXDIBKE0DHxgljNBAAO9TXL0Y4OHwAAAABJRU5ErkJggg==" alt="Red dot" />

e就必须要修改默认的策略img的src属性的正则表达式才可以,通过添加属性是不可以的。

另外还需要注意的一点是,在净化的时候,会修改原来的HTML结构,如果某些标签不完整,Sainitizer会将标签补充完整,例如:

<th scope="group">data</th> 
净化之后:
<table><tbody><th scope="group">data</th> </tbody></table>

<li class="test">data </li>
净化之后:
<ul><li class="test">data </li></ul>

具体的库可以参考:

  https://mvnrepository.com/artifact/com.googlecode.owasp-java-html-sanitizer/owasp-java-html-sanitizer

3)使用jsoup的库

默认SafeList定义了一个Basic的策略可以满足一般的需求,Basic的策略支持的标签和属性如下:

This safelist allows a fuller range of text nodes: a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, span, strike, strong, sub, sup, u, ul, and appropriate attributes.

Links (a elements) can point to http, https, ftp, mailto, and have an enforced rel=nofollow attribute.

示例代码:

String unsafe = 
  "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Safelist.basic());
// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

如果有特殊需求,可以通过SafeList的addTags和addAttributes 添加需要支持的标签和属性。

关于jsoup的具体信息可以参考:Prevent cross site scripting with jsoup

jimmyleeee
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
UEditor上传导致 XSS漏洞复现
afei001
07-16 2547
UEditor是由百度「FEX前端研发团队」开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点,开源基于MIT协议,允许自由使用和修改代码。UEditorv1.4.3.3中存在跨站脚本(XSS)漏洞。...
富文本编辑器防止XSS攻击
最新发布
lijingyu001的博客
04-02 650
vue.condig.js中配置。
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2263
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9625
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
富文本编辑器过滤XSS注入(JSOUP)
热门推荐
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
Spring Boot防 XSS攻击 复制即用
我是福强的博客
05-08 297
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 1、引入依赖 <dependency> <groupId>org.apache.com
java 富文本 过滤xss_对富文本进行XSS过滤
weixin_39760857的博客
02-16 942
public class AntiXSS {static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile("]*>.*]*>", Pattern.CASE_INSENSITIVE);static final PatternCompiler pc = new Perl5Compiler();static final Perl5Matcher...
Ueditor的XML文件上传导致存储型XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 7500
UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新版XML文件上传导致存储型XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类型改为uploadfile,并修改文件后...
java的jsoup
12-29
项目文件夹下jsoup/src/com/start.java是用jsoup过滤xss的例子 src下有jar包
java 富文本 过滤xss_javascript 处理富文本xss攻击
weixin_35976295的博客
02-24 1217
这块 网上挺多,一直没有找到比较好的解决方案,求大神你需要这个屌屌的XSS过滤模块:http://jsxss.com/zh/index.html在线演示:http://jsxss.com/zh/try.html简单使用方法:在页面中引入文件http://rawgit.com/leizongmin/js-xss/master/dist/xss.jsfilterXSS('任何HTML代码'); // ...
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 767
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
java 富文本 过滤xss_富文本编辑框和防止xss攻击
weixin_35252187的博客
02-16 1146
一、后台管理页面构建1、创建后台管理urlurlpatterns = [...# 后台管理urlre_path("cn_backend/$", views.cn_backend),re_path("cn_backend/add_article/$", views.add_article),...]2、构造视图函数from django.contrib.auth.decorators import ...
js 前端xss攻击——百度UEditor解决方案
两只橙的博客
11-02 9682
xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。  大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚本漏洞的根
jsp自定义标签过滤XSS安全字符
jianjun2114的博客
04-18 894
1.创建自定义标签类 public class XssTag extends SimpleTagSupport { @Override public void doTag() throws JspException, IOException { } } 2.创建xss.tld文件,并注册标签类 <?xml version="1...
富文本xss检查过滤比较好的开源项目的使用:htmlpurify,在codeigniter的应用
12-25 251
直接贴代码,能够更好的说明使用: 1,把下载包放到third_party中。 2,在library中创建适合ci使用的类库,代码如下: require APPPATH.'third_party/htmlpurifier/HTMLPurifier.auto.php';//引入放到third_party中的类库文件 class Htmlfilter extends HTMLPurifier
springboot如何处理富文本
03-27
Spring Boot 本身并不提供处理富文本的功能,但可以通过一些第三方组件来实现。 1. 使用 CKEditor CKEditor 是一个开源的富文本编辑器,可以轻松集成到 Spring Boot 项目中。可以使用 CKEditor 提供的 JavaScript API 将富文本内容保存到数据库中,再从数据库中提取内容并展示到页面上。 2. 使用 Froala Editor Froala Editor 是另一个开源的富文本编辑器,它提供了丰富的功能和易于使用的 API。与 CKEditor 类似,可以使用 Froala Editor 提供的 API 将富文本内容保存到数据库中,并展示到页面上。 3. 使用富文本转换器 可以使用一些开源的富文本转换器,如 Pandoc,将富文本内容转换为 Markdown 或 HTML 格式进行存储和展示。这种方法需要编写一些额外的代码来处理转换和展示。 无论使用哪种方法,都需要注意富文本内容的安全性,防止恶意代码注入和 XSS 攻击。建议使用富文本编辑器提供的安全措施,如过滤和验证输入内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值