解决jsp页面引入百度编辑器,出现xss漏洞

已于 2022-03-01 09:06:38 修改
阅读量4.2k 收藏 1
点赞数
文章标签: 百度 编辑器 xss
于 2022-03-01 09:03:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32736535/article/details/123197102
版权

前端部分引用代码

<form method="post" action="" enctype="multipart/form-data"  id="theForm"
			onsubmit="return validateSubmitForm(this)">	 
    <tr>
	    <th>
	        内容:
	    </th>
	    <td colspan="3">
		    <textarea class="editor" id="editor" name="contents"  height='260' width='700'>            </textarea>
	    </td>
    </tr>
</form>

js部分关键引入xss.js。xss.js官网根据白名单过滤HTML(防止XSS攻击)

<script src="../../../../resource/js/xss.js"></script>
<script type="text/javascript">
function tosubm(){
        //引入xss后,使用filterXSS方法
	    form.contents.value = filterXSS(form.contents.value);
		$("#theForm").submit();
}
</script>

注意:官网的xss默认屏蔽了很多css标签,如果直接使用会导致编辑器各种文本编辑效果失效,需要手动编辑xss的白名单内容。本人将方法getDefaultWhiteList() 涉及到的字段都加入了“style”属性,以及涉及到的属性都改为了true.这才将大部份排版效果恢复。还有很多属性没有涉及到,我觉得某些效果或许还是有问题。

本人修改过的xss

百度编辑器解决xss漏洞-系统安全文档类资源-CSDN下载

qq_32736535
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jsp onchange没有触发_一次存储型XSS绕过触发
weixin_39799307的博客
12-14 237
0x00 前言一次小小的学习过程,主要记录每一步的想法,如何由一个点思考到另一个点。0x01 走流程在测试的一个项目中看到了一个搜索框,想到XSS(见搜索框就插)此处做了简单的过滤,特殊字符都不行继续走流程,看看搜索正常的东西会到什么页面大概就这样,试试一些常见的语句,因为上面的过滤了大部分的特殊字符,没办法插入语句。<svg/onload=alert(1)><scri...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
百度多处XSS跨站漏洞续篇
abc123098098的博客
11-22 227
连续发了这么多天漏洞,到后来有点倦怠了,跨站跨到手软,码字码到吐血。 然而我觉得这一切是有意义的,对我自己来说是个总结归纳的过程,对大家来说是个饭后不错的谈资,对百度来说有人免费帮他们做QA测试,所以我看这种活动以后还是要经常开展,比如the Month of Baidu Bugs之类,不过码字好累,最好有人与我勾结勾结,一起狼狈为奸一下。 这次发布了许多漏洞,跨站方面找了15个比较...
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 591
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
Xss过滤器之文件上传特殊处理
qq_42585774的博客
11-11 4054
当表单提交的enctype="multipart/form-data"且同一个页面中有附件上传功能时,xss过滤器需要做特殊处理 package com.ffcs.common.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ...
Spring MVC过滤form表单为"multipart/form-data"时遇到问题
A_Runner的博客
11-20 3534
“风不定,人初静,明月落红应满径” 起因 最初因为这样,我们系统被送去检测漏洞,发现了XSS攻击的漏洞。如下图: 在产品描述的地方写上一些JS脚本,我们系统的过滤器不会过滤掉这些脚本。于是,开始了下面的寻找真相过程。 寻找真相 首先,上图中的form表中属性为:&amp;lt;form id=&quot;XXX&quot; method=&quot;post&quot; enctype=&quot;multipart/form-data&quot;
Ueditor百度编辑器JSP版
06-05
- **JSP页面引入**:在需要使用编辑器JSP页面中,通过`<script>`标签引入Ueditor的主配置文件,如`<script src="/ueditor/ueditor.config.js"></script>`。 - **初始化编辑器**:在JSP页面中创建一个`<div>`元素...
FCKeditor jsp版本
04-07
- 将编辑器的JavaScript文件和CSS文件引入JSP页面中。 - 创建一个iframe或使用其他方式在页面上加载编辑器。 - 初始化编辑器实例,配置编辑器参数,如工具栏设置、语言等。 - 处理编辑器的保存和获取内容,通常...
eWebEditor_V4.60网页编辑器
07-15
- **PHP**:在PHP页面中,引入编辑器的JavaScript文件后,需要创建一个PHP接收并处理POST数据的脚本,将编辑内容保存到数据库或文件系统。 - **JSP**:对于JSP,同样先引入JavaScript文件,然后在服务器端使用Java...
struts2文本编辑器(ckeditor),简单调用不需要多余配置
03-24
2. **创建JSP页面**:在你的JSP页面中,需要引入CKEditor的JavaScript文件。在`<head>`标签内添加以下代码: ```html ()%>/resources/ckeditor/ckeditor.js"> ``` 3. **配置CKEditor**:在需要显示CKEditor的...
简单FCKeditor在jsp中的使用
09-29
下面我们将详细讲解如何在JSP中配置和使用FCKeditor,以及如何获取编辑器中输入的数据。 ### 1. FCKeditor的安装与引入 首先,你需要从FCKeditor的官方网站下载最新版本的编辑器。解压缩后,将`fckeditor`目录复制...
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 4384
存储型XSS和反射型XSS修复
百度编辑器安全漏洞及其防护措施
极客神殿
08-10 2188
跟老赵头儿学开发之十四 : 百度编辑器安全漏洞及其防护措施 百度编辑器UEditor 是一套开源的在线html编辑器,它是由百度web前端研发部开发的所见即所得的富文本web编辑器,开发人员可以用 UEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本框。 UEditor既可以录入文本也可以上传图片,还可以支持自定义的html编写,支持电脑端及移动端,自适应页面,图片也可...
jsp页面安全扫描,出现基于DOM的XSS和重定向问题的解决方法
qq_42778675的博客
03-10 412
URL路径上的参数不单独获取,放到form里直接取集合就行,解决完真舒服。解决方法2:如果你是纯内网开发,也可以给安全扫描的同事发个说明,例如。扫描结果,当时一脸懵,没接触过jsp的前端仔,不知道从何下手。我主要是这两种问题1.路径参数问题,2.JQ方法不合适。jq方法不好使,换一种写法展示。
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3786
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
jsp页面中嵌入百度搜索引擎
分享技术,享受生活
07-28 2191
iframe id="baiduframe" marginwidth="0" marginheight="0" scrolling="no"  framespacing="0" vspace="0" hspace="0" frameborder="0" width="200" h
jsp:页面嵌入百度云视频,可播放
weixin_43517190的博客
11-30 1597
&amp;amp;amp;amp;amp;amp;lt;%@page contentType=&amp;amp;amp;amp;amp;quot;text/html; charset=GBK&amp;amp;amp;amp;amp;quot;%&amp;amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;amp;lt;%@taglib uri=&amp;amp;amp;amp;amp;quot;http://java.s
使用jsp:include嵌入页面的两种方式
我的博客
09-08 2301
1、静态嵌入子页面 <%...
jsp xss攻击分析
夜行者~@
11-10 2582
<%@ page language="java" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <body> <% request.setCharacterEncoding("UTF-8"); ...
百度编辑器 xss漏洞修复
最新发布
07-13
百度编辑器是一款常用的富文本编辑器,在过去曾经发现存在XSS漏洞XSS漏洞是一种跨站脚本攻击,攻击者利用该漏洞注入恶意脚本代码,从而获取用户的敏感信息。 为了修复百度编辑器XSS漏洞百度公司采取了一系列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值