富文本编辑器过滤XSS攻击

最新推荐文章于 2024-04-02 16:22:30 发布
最新推荐文章于 2024-04-02 16:22:30 发布
阅读量9.7k 收藏 4
点赞数
分类专栏: JAVAEE 文章标签: XSS JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pdy8023/article/details/80338957
版权

考虑到富文本编辑器可以直接在源代码里面写js代码,所以本文通过java过滤器,和字符串替换来做简单的防止。

一、后台添加过滤器

<!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 -->
<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>
<filter>
    <filter-name>XssSqlFilter</filter-name>
    <filter-class>org.cdc.web.xss.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-patten>/*</url-patten>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>
<!-- 防止CSS跨站脚本攻击 -->

二、替换特殊字符

private String cleanXSS(String value){
    // You'll need to remove the spaces from the html entities below
    value = value .replaceAll("<","& lt;").replaceAll(">","& gt;");
    value = value.replaceAll("\\(","& #40;").replaceAll("\\)","& #41;");
    value = value.replaceAll("'","& #39;");
    value = value.replaceAll("eval\\((.*)\\)","");
    value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']","\"\"");
    value = value.replaceAll("script","");
    value = value.trim();
    return value;
}
本文出处:https://blog.csdn.net/pdy8023/article/details/80338957
最爱桃子的阿狸
关注
专栏目录
【甲方安全建设】富文本编辑器XSS漏洞攻击及防御详析
等风来
08-31 2490
随着Web 2.0技术的普及,富文本编辑器在各种Web应用中得到了广泛应用,用户、网站管理员等可以通过富文本编辑器在网页中添加并展示格式化文本、图片、视频等丰富内容。然而,由于富文本内容本质上涉及客户端输入,并且可能包含HTML、JavaScript等代码,处理不当时容易引发跨站脚本攻击(XSS)。
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2392
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
富文本编辑器过滤XSS注入(JSOUP)
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
java 富文本 过滤xss_集成富文本编辑器XSS预防过滤措施
weixin_39642990的博客
02-24 179
import reimport copyfrom html.parser import HTMLParserclass XSSHtml(HTMLParser):allow_tags = [‘a‘, ‘img‘, ‘br‘, ‘strong‘, ‘b‘, ‘code‘, ‘pre‘,‘p‘, ‘div‘, ‘em‘, ‘span‘, ‘h1‘, ‘h2‘, ‘h3‘, ‘h4‘,‘h5‘, ‘h6‘...
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1473
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
富文本编辑器防止XSS攻击
lijingyu001的博客
04-02 969
vue.condig.js中配置。
富文本编辑器xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 3613
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
vue使用dompurify进行delta格式的富文本解决潜在的XSS攻击
weixin_54931655的博客
07-07 1609
它可以轻松地将可能存在风险的HTML标签和属性过滤掉,从而确保展示在用户浏览器上的内容是安全的。总之,Delta富文本内容存储媒介是一种非常方便的富文本编辑器数据格式,但其中存在潜在的XSS攻击风险。在前端Vue中使用dompurify库进行HTML转换和过滤可以有效地解决这个问题,确保展示在用户浏览器上的内容是安全的。在这个示例代码中,使用DOMPurify库的sanitize方法对从Delta格式转换而来的HTML字符串进行过滤,确保其中不存在恶意脚本。首先,需要安装dompurify库。
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1623
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
PHP版百度富文本编辑器ueditor
08-08
**PHP版百度富文本编辑器ueditor** 在Web开发中,富文本编辑器是不可或缺的工具,它允许用户以类似于Microsoft Word的方式创建和编辑内容,然后以HTML格式存储。其中,百度开发的ueditor是一款非常受欢迎的开源富...
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1117
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
php富文本中防止xss,允许用户做富文本编辑的站点要怎么防 XSS
weixin_30335379的博客
04-01 635
42019-03-12 10:26:10 +08:00参考下```java// 预编译 XSS 过滤正则表达式private static List xssPatterns = ListUtils.newArrayList(Pattern.compile("(|))|(\\s*(script|link|style|iframe)\\s*>)", Pattern.CASE_INSENSITIV...
XSS(跨站攻击)的防范利器HTMLPurifier
weixin_39801446的博客
04-18 333
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。 ...
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
富文本编辑器防止xss攻击
最新发布
07-28
富文本编辑器通常用于网站内容管理,允许用户输入包含各种HTML元素的内容。防止XSS(跨站脚本攻击)是非常重要的,因为攻击者可能会插入恶意脚本,影响其他用户的浏览体验甚至窃取数据。以下是防止XSS攻击的一些常见措施: 1. **输入验证**:对用户输入的数据进行严格的过滤和验证,只允许预期的标签、属性和字符通过。 2. **HTML编码**:将特殊字符如`<`, `>`, `'`, `"`等转换成它们的安全版本,如`<`, `>`, `&apos;`, `"`。 3. **使用安全的API**:使用预处理函数或库来处理用户输入,例如PHP的`htmlspecialchars()`或JavaScript的`DOMPurify`。 4. **CSS Sanitization**:对于CSS样式,只允许安全的样式属性,禁止执行相关的CSS选择器或表达式。 5. **禁用危险的内联样式和事件处理**:避免解析用户输入的内联样式和事件绑定,以防恶意代码注入。 6. **启用Content Security Policy (CSP)**:服务器端设置CSP策略,限制页面可以加载的内容来源和执行的操作。 7. **使用模板引擎或模式匹配**:如果使用的是服务器端渲染,可以利用模板引擎提供的转义功能来自动保护输出。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值