不想被跨站,但是又想用富文本的一个过滤函数,求绕过

最新推荐文章于 2023-05-06 09:03:25 发布
最新推荐文章于 2023-05-06 09:03:25 发布
阅读量1k 收藏
点赞数
分类专栏: 网站安全 文章标签: php PHP xss 安全 跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suxianbaozi/article/details/8167195
版权
/**
     * 过滤html代码中可能存在的js
     * */
    public static function no_xss($html_string) {
        //第一步过滤script标签
        $reg1 = "/<\/*script[^>]*>/i";  //忽略大小写
        while(preg_match($reg1,$html_string)) {
            $html_string = preg_replace($reg1,'',$html_string);
        }
        //第二步过滤 expression
        $reg2 = "/expression/i";
        while(preg_match($reg2,$html_string)) {
            $html_string = preg_replace($reg2,'',$html_string);
        }
        //第三步 过滤属性 onerror onload
        $reg3 = "/ (on[a-zA-Z]+)/i";
        while(preg_match($reg3,$html_string)) {
            $html_string = preg_replace($reg3,' ',$html_string);
        }
        //第四步 过滤协议类型 src=jav scr="" href="" href=
        $reg4 = "/(href|src) *\= *('|\"){0,1}([^>^ ^\"^']+)('|\"){0,1}/i";
        preg_match_all($reg4,$html_string,$result);
        $url_list = $result[3];
        foreach($url_list as $v) {
            if(!preg_match("/^http\:\/\//i",$v)) {
                $html_string = str_replace($v,'',$html_string);
            }
        }
        //第五步 过滤 link标签
        $reg5 = "/<\/*link[^>]*>/i";  //忽略大小写
        while(preg_match($reg5,$html_string)) {
            $html_string = preg_replace($reg5,'',$html_string);
        }
        //第六步 过滤iframe 标签
        $reg6 = "/<\/*iframe[^>]*>/i";  //忽略大小写
        while(preg_match($reg6,$html_string)) {
            $html_string = preg_replace($reg6,'',$html_string);
        }
        return $html_string;
    }
宁无竹
关注
专栏目录
web安全渗透测试十大常规项(二):web渗透测试之XSS跨站脚本攻击
HACKONE的博客
05-26 373
渗透测试之XSS跨站脚本攻击XSS跨站脚本攻击 XSS跨站脚本攻击
富文本过滤面临的一些问题
seastars的专栏
01-16 1456
关于富文本过滤,就是说给一段混杂了html,js,css的文本,过滤安全的部分,因此要做html,css解析,黑白名单设计,内容过滤。概括下来,功能点如下:以白名单方式过滤html属性,标签,不在白名单内的属性和标签被过滤。每个属性按照规定的格式过滤,不符合格式的清除解析style属性和标签内的css表达式,过滤expression()等不安全的代码,过滤url()内的外部url
一次利用XSS读取源码和Nosql注入渗透测试
最新发布
Python_0011的博客
05-06 542
常规的XSS利用方式主要有窃取cookie、恶意链接、获取键盘记录、网页钓鱼、挂马等等,本次渗透首先通过XSS漏洞,利用XMLRequest发起ajax请,实现了发起http请的目的,并且把请的结果返回了,通过代码审计,打开了突破的口子。后续还运用到了Nosql注入、绕过2FA验证、kdbx文件解密等等技术,渗透过程涉及很多小的知识点,充满乐趣与挑战,下面开始此次渗透之旅。
富文本XSS攻击防御,基于Jsoup的白名单过滤
爱偷懒的河马先生的博客
06-29 536
富文本XSS攻击防御
Java 富文本XSS攻击防御,基于Jsoup的白名单过滤
withwindluo的博客
12-10 3733
1. jsoup依赖 <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.12.1</version> </dependenc
java 富文本 过滤xss_XssHtml - 基于白名单的富文本XSS过滤
weixin_39712969的博客
02-16 921
关于富文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法。之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免富文本XSS的产生。总结一下现存的一些XSS Fliter的缺点,可以归纳成以下几条:1...
富文本场景下的 XSS
neal1991的专栏
09-05 2515
富文本编辑器是一个常见的业务场景,一般来说,通过富文本编辑器编辑的内容最终也会 html 的形式来进行渲染,比如 VUE,一般就会使用v-html来承载富文本编辑的内容。因为文本内容需...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7183
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
轻量级富文本编辑器wangEditor源码结构介绍
王福朋
05-11 9958
1. 引言   wangEditor——一款轻量级html富文本编辑器(开源软件) 网:http://www.wangeditor.com/demo演示:http://www.wangeditor.com/wangEditor/demo.html下载(github):https://github.com/wangfupeng1988/wangEditorQQ群:164999061
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4780
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
封装HTMLPurifier的富文本过滤器实现自定义白名单机制
08-07
简单封装HTMLPurifier的富文本过滤器,自定义白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!
百度编辑器Ueditor的黑白名单过滤
SiC B2B2C Shop大型B2B2C商城软件产品,使用Java语言开发,高性能高扩展性高安全性分布式。可帮助你快速的建立大型B2B2C电商系统
05-31 1663
百度编辑器Ueditor 黑白名单过滤serialize: 黑白名单配置。UEditor针对进入编辑器的富文本内容提供了节点级别的过滤,可以通过该配置的修改来达到控制富文本内容的目的黑白名单可以同时使用,也可以单独分开使用。黑名单中的标签将会被编辑器完整地过滤掉,包括标签本身以及标签之内的任何内容。而不在白名单之中的那些标签则仅被过滤了标签本身,其内容会继续走过滤流程。具体的黑白名单配置示例如下所...
Flink学习:UDF(map,filter,flatMap)(匿名函数、匿名类、自定义函数、富函数四类实现方式)
码上中年的博客
07-26 1258
1. map算子(匿名函数、匿名类、自定义函数、富函数四类实现方式) package com.qu.udf import com.qu.source.SensorReading import org.apache.flink.api.common.functions.{IterationRuntimeContext, MapFunction, RichMapFunction, RuntimeContext} import org.apache.flink.streaming.api.scala.Strea
XSS跨站脚本攻击)多姿势绕过滤思路
ElsonHY的博客
11-17 1281
XXS(跨站脚本攻击)多姿势绕过滤思路0x01 什么是XSS?0x02 XSS的危害0x03 XSS类型0x04 多姿势绕过1.基本的xss2.大小写绕过、字符拼接3.解锁更多姿势4.转义字符的排除0x05 其他情况0x06 总结 0x01 什么是XSS? 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击主要针对的是客户端的攻击。 0x02 XSS的危害 XSS能实现的的攻击有很多,一般攻击水平是取决
富文本编辑器防xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器防xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
富文本编辑器过滤XSS注入(JSOUP)
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击在Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值