富文本提交数据到后台防止xss攻击

最新推荐文章于 2023-07-07 11:05:39 发布
最新推荐文章于 2023-07-07 11:05:39 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: ueditor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34316431/article/details/116058166
版权

StringEscapeUtils.unescapeHtml的使用
富文本提交数据到后台后,保存到数据库的格式可能是这样的:
<p>打发 发顺丰</p>
我们有时候需要的是:

<p>打发 发顺丰</p>

    public static void main(String[] args) {

//方式一
        //org.apache.commons.lang3.StringEscapeUtils会把中文也转义
        String str = StringEscapeUtils.unescapeHtml4("&lt;p&gt;打发 发顺丰&lt;/p&gt;");
        //获取数据库数据,相当于解码反转译
        System.out.println(str);
        String str2 = StringEscapeUtils.escapeHtml4("<p>打发 发顺丰</p>");
        //获取富文本编辑器数据,相当于过滤转译,防止跨站xss攻击
        System.out.println(str2);

//方式二
        //spring的org.springframework.web.util.HtmlUtils.htmlEscape 不会转义中文
        System.out.println( HtmlUtils.htmlEscape("<font>打发 发顺丰 xing</font>"));

输出结果:

转义HTML,注意汉字:&lt;font&gt;chen&#25171;&#21457; &#21457;&#39034;&#20016;  xing&lt;/font&gt;
反转义HTML:<font>chen打发 发顺丰   xing</font>
&lt;font&gt;chen打发 发顺丰   xing&lt;/font&gt;

}

StringEscapeUtils.escapeHtml的具体使用
 跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
 对于不可信的输入可以采用 apache.commons.lang3.StringEscapeUtils 对输入字符串进行过滤,将’<’ ‘>’ ‘*’ 三个字符转换成html编码格式 < & &gt. 防止HTML注入攻击

import org.apache.commons.lang3.StringEscapeUtils;
 
public class XSStest{
    public static void main(String[] args) {
        String s = "<alert>(123)(*&^%$#@!)</alert>";
        s = StringEscapeUtils.escapeHtml4(s);
        System.out.println(s);
    }
}
 <alert>(123)(*&^%$#@!)</alert>
可以有效的防止恶意的页面跳转,alert弹框。

卡尔一点也不卡
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1362
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
关于XSS攻击及其防御
Wang的专栏
06-04 3606
【代码】关于XSS攻击及其防御。
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的朋友可以参考下
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 2584
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本数据之后,还是要进行净化处理。
前端安全之防范XSS
高先生的猫
06-06 2695
由于前段时间业务有接触到富文本编辑器,且编辑器由用户直接使用,所以不可避免需要对其涉及到的XSS防护有所了解,因此对XSS防护做一个实战小结。 前言 XSS大部分前端coder都不会陌生,全称:跨站脚本漏洞(Cross Site Scripting,简写作XSS)是Web应用程序在将数据输出或者展示到网页的时候存在问题,导致攻击者可以将对网站的正常功能造成影响甚至窃取或篡改用户个人信息,其诱发的主要原因是没有针对用户输入来源的数据以及不可信数据源的过滤。本文将针对XSS进行简单的归类总结,并且提供.
vue使用dompurify进行delta格式的富文本解决潜在的XSS攻击
weixin_54931655的博客
07-07 1260
它可以轻松地将可能存在风险的HTML标签和属性过滤掉,从而确保展示在用户浏览器上的内容是安全的。总之,Delta富文本内容存储媒介是一种非常方便的富文本编辑器数据格式,但其中存在潜在的XSS攻击风险。在前端Vue中使用dompurify库进行HTML转换和过滤可以有效地解决这个问题,确保展示在用户浏览器上的内容是安全的。在这个示例代码中,使用DOMPurify库的sanitize方法对从Delta格式转换而来的HTML字符串进行过滤,确保其中不存在恶意脚本。首先,需要安装dompurify库。
修复富文本编辑器引起的XSS安全问题
weixin_45394033的博客
10-24 2762
在平时使用的富文本编辑器中也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9472
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
浅谈Web前端安全策略xss和csrf,及又该如何预防?
dzqxwzoe的博客
02-09 185
跨站脚本攻击,缩写为XSS(Cross Site Scripting),是利用网页的漏洞,通过某种方式给网页注入恶意代码,使用户加载网页时执行注入的恶意代码。跨站请求伪造(Cross-site request forgery),也被称为或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行**非本意的操作**的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
XSS(跨站攻击)的防范利器HTMLPurifier
weixin_39801446的博客
04-18 306
在编程开发时安全问题是及其重要的,对于用户提交数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。 ...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9036
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
富文本编辑器防xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器防xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
XSS攻击
weixin_45730243的博客
12-17 1267
1、什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),攻击者往web页面里插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会执行,从而达到恶意攻击用户的目的。 模拟过程: 添加功能中,请求参数值包含script标签js代码 添加成功后,数据表中: 12 | test访问新增的这条数据,js代码会被浏览器解析并执行。 Xss攻击严重影响了正常用户对网站的访问。 2、转化的思想防范xss攻击 转化的思想:将输入的内容中的<>转化为html
Rain Water Algorithm雨水优化算法附matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
怎么全局防止xss攻击
07-09
全局防止XSS(跨站脚本攻击)的方法有以下几个方面: 1. 输入验证和过滤:对于用户输入的数据,进行严格的验证和过滤,确保只允许合法的数据输入。例如,对于表单数据,可以使用正则表达式或其他方法过滤非法字符。 2. 输出编码:在将用户输入的数据显示在网页上时,使用适当的编码方式进行转义,将特殊字符转换为其对应的HTML实体或JavaScript转义字符。这样可以防止恶意脚本在页面中执行。 3. 内容安全策略(Content Security Policy,CSP):通过设置CSP头部来限制网页中可加载和执行的资源,包括脚本、样式表、字体等。CSP可以限制只从指定的域名加载资源,防止恶意脚本的注入。 4. HTTP-only标记:对于存储敏感信息的Cookie,使用HTTP-only标记来限制客户端脚本的访问。这样可以避免XSS攻击者窃取Cookie信息。 5. 安全的开发实践:编写安全的代码是防止XSS攻击的关键。开发人员应遵循安全的开发实践,如避免拼接用户输入到动态脚本、样式或HTML标签中,使用安全的编码函数等。 请注意,这些方法可以帮助减少XSS攻击的风险,但不能完全消除。因此,定期更新和修复漏洞,保持软件和系统的安全性也是非常重要的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值