XSS防御-使用AntiSamy

最新推荐文章于 2024-07-09 18:08:01 发布
最新推荐文章于 2024-07-09 18:08:01 发布
阅读量1.1w 收藏 25
点赞数 9
分类专栏: Web安全 文章标签: XSS AntiSamy web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35946990/article/details/74982760
版权
本文介绍了AntiSamy,一个OWASP的开源项目,用于防御存储型和反射型XSS攻击。通过策略文件定义,AntiSamy对用户输入的HTML、CSS和JavaScript等内容进行过滤,确保输入合规。文章详细讲解了maven依赖、策略文件的定制以及如何在项目中使用AntiSamy进行XSS防护。
摘要由CSDN通过智能技术生成

AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。

1、maven依赖

AntiSamy直接导入到工程即可,但是其运行依赖xercesImpl、batik、nekohtml,这些依赖默认会一起导入

<!-- OWASP AntiSamy -->
<dependency>
  <groupId>org.owasp.antisamy</groupId>
  <artifactId>antisamy</artifactId>
  <version>1.5.5</version>
</dependency>

2、策略文件

AntiSamy对“恶意代码”的过滤依赖于策略文件。策略文件规定了AntiSamy对各个标签、属性的处理方法,策略文件定义的严格与否,决定了AntiSamy对XSS漏洞的防御效果。

在AntiSamy的jar包中,包含了几个常用的策略文件

这里写图片描述

我们可以自定义策略文件来过滤用户输入,但更多的会是基于现有的策略文件进行稍微的调整,以使其更贴合项目的实际需求。
这里写图片描述

要描述某种特定规则,XML无疑是个不错的选择,而AntiSamy策略文件也正是采用了XML格式。如图所示,除去文件头的AntiSamy策略文件可以分为八个部分

1)、directives

全局配置,对AntiSamy的过滤验证规则、输入及输出的格式进行全局性的控制

<directives>
  <directive name="omitXmlDeclaration" value="true"/>
  <directive name="omitDoctypeDeclaration" value="true"/>
  <directive name="maxInputSize" value="200000"/>
  <directive name="useXHTML" value="true"/>
  <directive name="formatOutput" value="true"/>
  <directive name="nofollowAnchors" value="true" />
  <directive name="validateParamAsEmbed" value="true" />

  <!--
  remember, this won't work for relative URIs - AntiSamy doesn't
  know anything about the URL or your web structure
  -->
  <directive name="embedStyleSheets" value="false"/> 
  <directive name="connectionTimeout" value="5000"/>
  <directive name="maxStyleSheetImports" value="3"/>

</directives>

2)、common-regexps

公用正则表达式,需要使用正则的时候可以通过name直接引用

<common-regexps>
  <regexp name="numberOrPercent" value="(\d)+(%{0,1})"/>
  <regexp name="paragraph" value="([\p{L}\p{N},'\.\s\-_\(\)\?]|&amp;[0-9]{2};)*"/>  
  <
最低0.47元/天 解锁文章
张张张小胜
关注
  • 9
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御
XSS脚本攻击防御Antisamy)(上)
Vi_error.nextval
01-11 1726
XSS脚本攻击防御Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
【网络安全的神秘世界】XSS基本概念和原理介绍
最新发布
weixin_54750312的博客
07-09 1018
恶意攻击者往web页面插入恶意代码脚本(JS代码),当用户浏览该页面时,嵌入web里面的JS代码会被执行,从而达到恶意攻击用户的目的。也叫持久型,常见的就是在博客留言版、反馈投诉、论坛评论等位置,将恶意代码和正文都存入服务端,每次访问都会触发恶意代码。我们可以构造恶意代码,观察远程服务器web日志,只要网站管理员访问,它的cookie值就被盗取。发现恶意代码被浏览器保存到页面了,访问其他网页再回来,仍会造成攻击,这就叫持久型。像刚才的攻击流程,攻击一次立马失效,这就叫非持久型。
AntiSamy防跨站脚本攻击(XSS)快速入门
我要记录学习博客
08-29 937
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7358
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1648
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1296
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
防止跨站脚本攻击XSSAntisamy
点滴记忆,分享成长之路
06-29 851
本文重点是介绍SpringBoot3.X和Antisamy的整合细节
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
XSS脚本注入拦截框架 antisamy
04-06
为有效防御XSS攻击,OWASP(开放Web应用安全项目)开发了名为AntiSamy的脚本注入拦截框架。AntiSamy是一款用于Java的HTML、CSS和JavaScript过滤器,其核心功能是根据策略文件对用户输入进行净化,确保所有输入严格...
antisamy-sandbox:修改 OWASP AntiSamy
07-13
本文将探讨一个名为antisamy-sandbox的项目,它是AntiSamy的一个修改版本,特别关注其构建与使用方法。 antisamy-sandbox项目是对OWASP AntiSamy的进一步优化与定制,旨在提供更安全的环境来处理和过滤用户输入的...
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xml 、antisamy-ebay.xml、antisamy-myspace.xml、antisamy-anythinggoes.xml、antisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
Springboot-XSS.zip
09-03
Spring Boot提供了一些内置机制来帮助防御XSS攻击: 1. **使用`HttpMessageConverter`和`ResponseBodyAdvice`**:Spring Boot允许你自定义HTTP消息转换器,以确保在返回响应体之前对内容进行适当的编码。 2. **启用...
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。antisamy通过提供一套详细的策略和规则,可以对HTML、...
antisamy的1.4&&1.5版本
06-17
AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御中,AntiSamy对“恶意代码”的过滤依赖于策略文件。策略文件规定了AntiSamy对各个标签、属性的处理方法,策略文件定义的严格与否,决定了AntiSamyXSS漏洞的...
php实现XSS安全过滤的方法
10-23
10. 使用现成的安全库:对于复杂的Web应用,建议使用已有的成熟安全库来实现XSS过滤,例如OWASP AntiSamy、HTML Purifier等,这些库经过了安全社区的验证,能够提供更为稳定和全面的保护。 需要注意的是,过滤器并...
Java中使用AntiSamy开源项目防御XSS攻击
Howinfun的博客
10-26 2639
背景:     之前公司有接了一个国土的项目,虽然是内部小项目,但是可能是zhengfu项目竟然找软件测试公司大概测了一下。。。然后出现了以下三种问题:sql注入,XSS攻击,接口访问频率。下面是解决XSS攻击。 研究:     一开始的想法是,弄个过滤器把那些关键字过滤掉不就好了,例如script、eval、document等等,确实网上也有这些例子。可参考此博客https://www.c...
antisamy XML 简介
周碧银
09-29 1923
1) antisamy-slashdot.xml Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限 的 HTML 格式的内容匿名回帖。Slashdot 不仅仅是目前同类中最酷的网站之一,而 且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻 击的原由是臭名昭着的 goatse.cx 图片(请你不要
AntiSamy使用总结
rqz__的博客
04-09 863
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用AntiSamy的基本步骤如下: 1. 引入AntiSamy库:将AntiSamy库添加到你的项目中。 2. 配置策略文件:定义一个策略文件,该文件规定了哪些HTML和CSS标签以及属性是允许的。你可以根据自己的需求自定义策略文件。 3. 创建AntiSamy实例:在你的代码中创建一个AntiSamy实例,并加载策略文件。 4. 清理输入数据:在将用户输入数据显示在网页上之前,使用AntiSamy对输入数据进行清理。AntiSamy会根据策略文件过滤掉不安全的HTML和CSS代码。 5. 显示清理后的数据:将经过AntiSamy清理后的数据显示在网页上,确保只有安全的代码被执行。 使用AntiSamy可以有效地防御XSS攻击,但仍建议采取其他安全措施,如输入验证和输出编码,以提高应用程序的整体安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值