关于消除不受信任的HTML(来防止XSS攻击)

最新推荐文章于 2023-05-17 17:40:45 发布
最新推荐文章于 2023-05-17 17:40:45 发布
阅读量658 收藏
点赞数
分类专栏: 入坑脚印 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45093248/article/details/109360522
版权

1.什么是消除不受信任的HTML(来防止XSS攻击)?

引用 在这里插入图片描述

2.什么是jsoup?

jsoup 是一个用于处理实际HTML的Java库。它使用HTML5最佳DOM方法和CSS选择器,为提取URL以及提取和处理数据提供了非常方便的API。
jsoup实现 WHATWG HTML5 规范,并将HTML解析为与现代浏览器相同的DOM。
从URL,文件或字符串中抓取并解析HTML
使用DOM遍历或CSS选择器查找和提取数据
处理HTML元素,属性和文本
根据安全的白名单清除用户提交的内容,以防止XSS攻击
输出整洁的HTML
jsoup旨在处理野外发现的所有各种HTML;从原始和验证到无效的标签汤;jsoup将创建一个明智的解析树。
在这里插入图片描述

3.如何使用jsoup?

3.1jsoup的方法
截图来源
在这里插入图片描述
3.2主要使用clean方法,使用Whitelist对输入的Html字符串过滤,只允许特定的标签或者属性,防止恶意代码。
示例:如下图,将前端传入的值通过Jsoup.clean()方法以及需要过滤的白名单规则进行过滤和只保留whitelist允许的标签和属性。
注:
1.Whitelist包含几种过滤模式:none、basic、simpleText、basicWithImages、relaxed,具体过滤规则请参考:
2.这个没有提供baseUri这个参数,即没有提供将相对路径转换为绝对路径的功能。
3.Document.OutputSettings:文档的输出设置,控制精细打印
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

重点重点重点(说三遍)

我们在开发过程中如果遇到需要前端使用富文本编辑传值时,采用Jsoup.clrean()方法来防止XSS攻击。

在这里插入图片描述

shahaiyu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java xss 解决,如何清理Java中的HTML代码以防止XSS攻击
weixin_36322454的博客
02-16 330
I'm looking for class/util etc. to sanitize HTML code i.e. remove dangerous tags, attributes and values to avoid XSS and similar attacks.I get html code from rich text editor (e.g. TinyMCE) but it can...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
【使用JSOUP实现网络爬虫】清理HTML-消除不受信任html (来防止xss攻击)
Cross
11-18 1万+
问题在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。方法使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。String unsafe = "L
vue ---根据白名单过滤HTML(防止XSS攻击)
热门推荐
如的博客
03-04 2万+
xss官网:https://jsxss.com/zh/index.html 以nodejs做测试 1.在终端引入xss,命令: npm install xss --save 2.在vue的页面进行引入 import xss from 'xss' 3.定义一个变量进行测试 首先测试一个没有进行防止xss攻击的测试 <p v-html="test"></p&g...
vue中使用v-html如何避免xss攻击??
yang_song97的博客
05-17 1184
有时候后端返回的数据是这样的这时我们想到使用vue指令v-html实现,但是这样会有问题,如何防止跨站点脚本(XSS)攻击?这里我们借助插件vue-dompurify-html来实现,直接上代码。
消除不受信任HTML (来防止XSS攻击)
weixin_34238642的博客
06-17 336
http://www.open-open.com/jsoup/whitelist-sanitizer.htm
XSS Scanner 1.0 挖掘XSS漏洞的利器
02-11
XSS攻击,全称跨站脚本攻击,是一种常见的Web应用安全漏洞,攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户数据或破坏用户体验的目的。XSS漏洞通常分为三类:反射型XSS、...
Angular4绑定html内容出现警告的处理方法
08-28
这是因为Angular的默认策略为了防止跨站脚本攻击(XSS),会自动清理潜在的不安全内容。当你使用`[innerHTML]`属性绑定时,Angular会尝试净化HTML,这可能导致某些内容被剥离,并在控制台中触发警告。 警告信息如下...
杀螨科
02-16
3. **安全的外部资源引用**:避免在HTML中直接链接到不受信任的外部资源,如JavaScript库或CSS文件,因为它们可能被篡改,携带恶意代码。 4. **HTTPS**:使用HTTPS协议可以加密数据传输,防止中间人攻击,确保用户...
AntiXssLibrary_HtmlSanitizationLibrary.rar
11-12
AntiXssLibrary是微软开发的一个安全库,专门用于防止XSS攻击。它提供了一组API,可以对用户输入进行编码,确保这些输入不会在网页上被执行为脚本。这个库的核心功能包括: 1. **HTML编码**:对HTML元素、属性和...
前端大厂最新面试题-前端安全.docx
最新发布
06-06
前端大厂最新面试题-前端安全 本文档总结了前端安全的相关知识点,涵盖...* HttpOnly 属性:如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击
根据白名单过滤 HTML(防止 XSS 攻击)
xu990128638的专栏
02-08 416
D:\open_source\t1eexx>npm install xss --registry=registry.npm.taobao.org -S npm WARN invalid config registry="registry.npm.taobao.org" npm WARN invalid config Must be a full url with 'http://' npm WARN safety-code@1.0.0 No description npm WARN safe...
vue项目前端解决xss攻击方案
baogeprh的博客
12-15 9965
项目中input框中添加验证方法 // 通过下面正则表达式验证 export function isSpecialCharacter (s) { let regEn = /[`~!@#$%^&*()_+<>?:"{}.\/;'[\]]/im let regCn = /[·!#¥(——):;“”‘、|《。》?、【】[\]]/im if (regEn.test(s) || regCn.test(s)) { return true; } else { ret
java根据白名单过滤html,防止XSS攻击的方法-使用白名单过滤html标签
weixin_36469247的博客
06-08 1176
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容解决方法一:jsoup工具类org.jsoupjsoup1.8...
解决v-html指令潜在的xss攻击
lingxiaoxi_ling的博客
04-29 1万+
我们首先来看一个例子 运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击html指令的运行原理 v-html指令源码 // /vue/src/platforms/web/compiler/directives/html.js export default function html (el: ASTElement, di...
Vue解决V-HTML指令潜在的XSS攻击
caiqian97的博客
03-23 1415
当其他用户进入该网站后,脚本就在用户不知情的情况下偷偷地执行了,这样的脚本可能会窃取用户的信息、修改页面内容、或者伪造用户执行其他操作等等,后果不可估量。发送到Web浏览器的恶意内容通常采用JavaScript代码片段的形式,但也可能包括HTML,Flash或浏览器可能执行的任何其他类型的代码。XSS是一种注入脚本式攻击,攻击者利用如提交表单、发布评论等方式将事先准备好的恶意脚本注入到那些良性可信的网站中。三、在vue.config.js或vue-loader.config.js中覆写html指令。
vue项目:解决v-html可能带来的XSS是跨站脚本攻击
snowball的博客
12-27 4109
一、项目简介 vue开发,nuxt项目 二、问题简述 当使用v-html时,出现提示如图: 三、解决问题 3.1、方案 使用vue-dompurify-html代替v-html 3.2、安装 yarn add vue-dompurify-html 3.3、plugins下创建vueInject.js (名字自己取) import VueDOMPurifyHTML from 'vue-dompurify-html' import Vue from 'vue' Vue.use(V.
v-html防止XSS注入
Liingot的博客
08-19 3976
vue-dompurify-html插件 安装 cnpm install vue-dompurify-html 引入 import VueDOMPurifyHTML from 'vue-dompurify-html' Vue.use(VueDOMPurifyHTML) 使用 <div v-dompurify-html="rawHtml"></div> 为什么使用vue-dompurify-html,不用XSS插件呢? 因为使用XSS插件他会把除了标签和内容之外的所有东西都给过
为啥进行html标签编码可以防止XSS
zwbHUST的博客
12-10 2391
众所周知,html字符编码可以防止大部分的XSS攻击。一直以来有一个疑问,为什么对编码解码为<script></script>后,不会进行对此标签继续进行解析呢? 一定有一些底层的原理来解释这个问题。 解释如下: HTML解析器以状态机的方式运行,它从文档输入流中消耗字符并根据其转换规则转换到不同的状态。 示例: <html> <body> Hello world </body> </html> 1、 初始状
jersey如何防止xss攻击
05-26
不过,我们可以通过一些方法来增强我们的服务,以防止 XSS 攻击。 以下是一些可以采取的措施: 1. 输入验证和过滤:在处理输入数据之前,对输入数据进行验证和过滤。可以使用一些开源的验证库,如 Hibernate ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值