xss漏洞后端进行html消毒

已于 2023-12-01 15:44:06 修改
阅读量268 收藏
点赞数
文章标签: xss
于 2023-12-01 14:45:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42572245/article/details/134734594
版权 
import org.jsoup.Jsoup;
    public static String sanitizeHtml(String input) {
        // 使用 Jsoup 消毒 HTML
        return Jsoup.clean(input, Safelist.relaxed());
    }

    public static void main(String[] args) {
        String userInput = "<p><script>alert(1)</script>Safe Content</p>";
        String sanitizedHtml = sanitizeHtml(userInput);
        System.out.println(sanitizedHtml);
    }


        <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.14.3</version> <!-- 使用最新版本 -->
        </dependency>

结果:
在这里插入图片描述

另外一种可以script里面的字段也可以提出来

https://github.com/finn-no/xss-html-filter 依赖自行导入本地库

    public static void main(String[] args) {
        String input = "<p><script>alert(1)</script>Safe Content</p>";
        String clean = new HTMLFilter().filter( input );
        System.out.println(clean);
    }

结果为:
在这里插入图片描述

神也会困
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss漏洞原理
现代鲁滨逊的博客
07-24 2210
XSSXSS原理简单介绍漏洞成因XSS分类1.反射型2.存储型3.DOM型XSS危害XSS构造及漏洞利用1.XSS过滤绕过利用<>标记HTML、JavaScript关闭标签利用HTML标签属性执行XSS空格回车Tab绕过过滤利用标签属性进行转码产生事件扰乱XSS过滤规则利用字符编码利用CSS跨站过滤2.其他XSS漏洞XSS防御输入过滤输出编码标签黑白名单过滤代码实体转义httponly防止cookie被盗取总结 参考: XSS跨站脚本攻击原理及代码攻防演示(一)(很大一部分从他那来的,如侵立删)
XSS的分类和原理
2301_80361487的博客
01-24 846
XSS漏洞分类 1、反射型(非持续型) 2、存储型(持续型) 3、DOM型 反射型(Reflected Cross-site Scripting) 反射型xss也称作非持久型、参数型跨站脚本。 主要用于将恶意脚本附加到URL地址的参数中。 产生层面:前端 漏洞特征:一次性的、前端执行、不会储存在后端数据库 危害等级:中 反射型XSS攻击原理 反射型XSS原理 反射型XSS形成的一个过程 反射型 XSS 反射型 XSS 的攻击步骤: 攻
XSS漏洞利用
2302_79885863的博客
04-01 1331
输出编码主要有URL、HTMLJS可以采用白名单验证或者黑名单验证方法。白名单验证:对用户提交的数据进行格查,只接受指定长度范围内、采用适当格式和预期字符的输入,其余一律过滤黑名单验证:对包含XSS代码特征的内容进行过滤,如"“、“script”、”#"等·对所有输出字符进行HTML编码‘’ 转成& gt;‘&’ 转成& amp;" 转成& quot;’ 转成& #39;
如何处理预防XSS漏洞攻击问题
dexunyun的博客
01-05 986
XSS,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞,通过利用网页开发时留下的漏洞,注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。攻击者利用这种漏洞向网页中插入恶意脚本代码,当用户访问包含恶意脚本的网页时,这些脚本就会在用户的浏览器中执行,从而导致信息泄露、会话劫持、网页篡改、传播恶意软件等安全问题。5、隔离用户输入:将用户输入的内容与页面的内容进行隔离,比如使用双重花括号{{}}或者类似的模板引擎来输出用户输入的内容。
网络安全必学知识点之XSS漏洞
kali_Ma的博客
09-23 2399
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
Web安全漏洞XSS攻击
特困生Kuel的博客
12-30 294
什么是 XSS 攻击 XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的。 常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。 其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。 1.反射型 反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个
xss漏洞学习小结,详不详细你说了算
MSB_WLAQ的博客
10-09 799
xss漏洞小结 一、初识XSS 1、什么是XSS XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 coo.
web漏洞XSS
小白的博客
05-08 266
漏洞描述 XSS (跨站脚本攻击)主要基于javascript (JS) 完成恶意的攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的“想象”空间特别大。 XSS通过将精心构造的代码(JS) 代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。当用户访问被XSS脚本注入的网页,XSS脚本就会被提取出来。用户浏览器就会解析这段XSS代码,也就是说用户被攻击了。用户最简单的动作就是使用浏览器上网,并且浏览器中有javascript解释器,可以解析j avascri
实现简单的xss
tlucky的博客
04-12 1034
1.简介 XSS(跨站脚本攻击)又叫CSS (Cross Site Script) ,为了区别层叠样式表(CSS)所以叫XSS,XSS的重点不在于跨站点,而是在于脚本的执行。XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 Web 应用程序对用户的输入过滤不足而产生的,它指的是攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 2.利用xss 一、窃取用户的cookie,登陆用户账号 二、进行社工钓鱼,如弹出来
Web应用进行XSS漏洞测试
03-03
对WEB应用进行XSS漏洞测试,不能仅仅局限于在WEB页面输入XSS攻击字段,然后提交。绕过JavaScript的检测,输入XSS脚本,通常被测试人员忽略。下图为XSS恶意输入绕过JavaScript检测的攻击路径。XSS输入通常包含...
Java版SQLXSS漏洞扫描平台网页版前端html + css jquery 后端springboot + java
04-28
xss漏洞格式 https://xxxx.com&topicid= post格式 id=,name= 模块介绍 登录模块 首页扫描 扫描列表 关于系统 密码修改 扫描功能介绍 xss扫描 存储型xss 反射型xss sql扫描 字符型 数字型 联合型 数据库设计...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
dvwa靶场Reflected Cross Site Scripting (XSS)(跨站脚本攻击)全难度教程(附代码分析)
m0_73248913的博客
05-18 282
作为一种HTML注入攻击,XSS攻击的核心思想就是在HTML页面中注入恶意代码,代码语言是js。一般有三个角色参与:攻击者、目标服务器、受害者的浏览器。
node-v4.2.2-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
05-21
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
ndnav主题1.1-haiyong.zip
05-21
内容概要: "ndnav主题1.1-haiyong.zip"是一个针对特定导航需求设计的主题包,提供了一套优化的界面元素和布局,旨在增强用户体验和导航效率。这个主题可能包含了图标、色彩方案、字体样式等视觉元素的自定义,以及可能的操作流程优化,确保用户能够快速找到所需信息。 适用人群: 此主题适合需要高效导航解决方案的用户群体,比如专业领域的工作者、研究人员或是对特定领域有深入了解并追求高效率的信息检索者。它也可能适合那些喜欢定制化界面并希望根据个人喜好或工作需求调整导航工具外观和功能的用户。 使用场景及目标: 该主题可用于多种场合,如图书馆、研究机构、学术会议、企业内部信息系统等,任何需要快速而准确导航大量信息资源的环境都会受益。其目标是减少用户在查找和访问信息时的认知负担,通过直观的设计和布局简化用户路径,从而提高工作效率和满意度。 其他说明: 由于没有具体的文件内容,无法提供更详细的功能描述。不过,一般来说,此类主题包的安装和使用可能需要一定的技术知识,用户在安装前应确保理解如何应用主题,并遵循相关的安装指南。同时,用户也应该注意检查主题包的兼容性,确保它能够与现有的导航系统无缝协作。
grpcio-1.12.0-cp35-cp35m-manylinux1_i686.whl
最新发布
05-21
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
XSS漏洞会在HTML属性中输出吗
06-10
是的,XSS漏洞可以在HTML属性中输出恶意脚本,从而对网站的安全性造成危害。攻击者可以通过在HTML属性中注入恶意脚本来实现XSS攻击,比如在<img>、<link>、<script>等标签中的src、href、onerror等属性中注入恶意脚本。 当用户在网站上输入恶意脚本时,如果网站没有对用户输入进行过滤和转义,那么恶意脚本就会被嵌入到HTML属性中,并在用户访问该页面时被浏览器解析执行,从而造成危害。 因此,网站开发者需要对用户输入进行过滤和转义,以避免恶意脚本被注入到HTML属性中。具体来说,可以使用一些开源的XSS过滤器库,如OWASP ESAPI、HTML Purifier等,或者自己编写过滤函数,对用户输入进行过滤和转义,以保证网站的安全性。同时,也可以使用CSP(Content Security Policy)等安全策略来限制页面中的脚本执行,从而提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值