新增富文本单元格和XSS过滤器

最新推荐文章于 2023-05-12 17:12:17 发布
最新推荐文章于 2023-05-12 17:12:17 发布
阅读量559 收藏
点赞数
文章标签: servlet java html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57278020/article/details/127404871
版权

皕杰报表 富文本编辑器 字符编码过滤器 XSS过滤器 安全防护
关键词由CSDN通过智能技术生成

一.富文本单元格

        皕杰设计器新增了单元格富文本类型,我们在一些网站编辑文章的时候经常可以看到富文本和markdown等编辑器,其中以Word为例,输入文字后,选择不同的功能(通常是通过点击某个图标),例如加粗或者调整字体大小,处理后的效果直接显示在屏幕上,与打印出来的效果相同。所以富文本编辑器又叫“所见即所得”编辑器。

1、 单元格右键选择单元格类型——富文本,则该单元格即为富文本类型单元格。

2、 双击富文本类型单元格,弹出富文本编辑器。

大大降低了展示复杂文字的难度,提高了制表效率。

二.XSS过滤器 

为了解决由于编码问题而导致的找不到模板文件以及解决安全扫描中XSS注入风险问题,皕杰报表web端新增了两个过滤器供选择,一个是字符编码过滤器(CharacterEncodingFilter),一个是XSS过滤器(XssRequestFilter)。

一、 字符编码过滤器(CharacterEncodingFilter)

       实质上这是一个编码转换过滤器,把URL中的编码统一成UTF-8,从而解决了由于编码问题而导致的找不到模板文件、页面乱码等问题。如果要使用该过滤器,需在web.xml中进行如下配置:

 <filter>
  <filter-name>CharacterEncodingFilter</filter-name>
  <filter-class>bios.report.engine.output.CharacterEncodingFilter</filter-class>
  <init-param>
  <param-name>encode</param-name>
  <param-value>UTF-8</param-value>
  </init-param>
 </filter>
 <filter-mapping>
  <filter-name>CharacterEncodingFilter</filter-name>
  <url-pattern>/ReportEmitter</url-pattern>
 </filter-mapping>
 <filter-mapping>
  <filter-name>CharacterEncodingFilter</filter-name>
  <url-pattern>/ReportQuerier</url-pattern>
 </filter-mapping>
 … …

        有两点需要注意:

1、该过滤器仅仅针对GET请求有效

2、如果使用皕杰框架平台的话,请把该过滤器配置在平台的主过滤器之后

二、XSS过滤器(XssRequestFilter)

       为了解决安全扫描中XSS注入攻击问题,增加了一个XSS过滤器(XssRequestFilter),可以有效解决XSS攻击的安全问题。如果要使用该过滤器,需在web.xml中进行如下配置:

 <filter>
  <filter-name>XSSRequestFilter</filter-name>
  <filter-class>bios.report.engine.output.XSSRequestFilter</filter-class>
 </filter>
  
 <filter-mapping>
  <filter-name>XSSRequestFilter</filter-name>
  <url-pattern>/ReportEmitter</url-pattern>
 </filter-mapping>
 <filter-mapping>
  <filter-name>XSSRequestFilter</filter-name>
  <url-pattern>/ReportQuerier</url-pattern>
 </filter-mapping>
 … …

XSS规则配置

      为了能灵活控制不断变化的XSS攻击,XssRequestFilter把过滤规则放置在/WEB-INF/resources/xssruler_config.xml中,这样可以根据需要进行过滤规则控制。

       一个参数只能配置一条规则,参数名区分大小写;一个规则中可以配置很多的攻击特征字符,不同的特征字符之间用逗号隔开,特征字符不区分大小写,按照配置的顺序执行处理;

如下所示:

 <Config>
  
  <parameter name="rpt" xss="script,alert" />
  <parameter name="rptskin" xss="script,alert" />
  
 </Config>

其它说明

1、遇到参数值中有xss脚本时,并不中断请求,而是把参数值中的与xss特性相关内容去掉。

2、XSS特性字符中如果有特殊字符,例如:‘<’用‘ <’代替;‘>’用‘ >’代替。

3、如果使用皕杰框架平台的话,请把该过滤器配置在平台的主过滤器之后。

qq_57278020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 富文本 过滤xss_对富文本进行XSS过滤
weixin_39760857的博客
02-16 960
public class AntiXSS {static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile("]*>.*]*>", Pattern.CASE_INSENSITIVE);static final PatternCompiler pc = new Perl5Compiler();static final Perl5Matcher...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1582
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
SpringBoot针对富文本和非富文本添加xss过滤
ACodeBird
08-27 3679
一、SpringBoot针对富文本和非富文本添加xss过滤(如果富文本字段是唯一,这里的唯一是不跟非富文本字段同名,实际写一个HttpServletRequestWrapper就行) 1.xss过滤器 package com.doctortech.tmc.filter; import com.doctortech.tmc.support.xss.XssHttpServletRequestWrapper; import com.doctortech.tmc.support.xss.XssRichTextHt
Java解析富文本rtf中文乱码
dylwildwolf的专栏
08-13 5350
最近做个项目,数据库存储了别的项目获取的含有中文的富文本格式字符串,这边要求转成中文进行处理,所以研究了一下,项目实施后也遇到了几个问题,在这里分享一下,本文主要关注如何将富文本中的中文正确解析出来: 主要解决问题: 1 如何解析富文本中的中文; 2 特殊的富文本格式怎么处理; 3 解析出现中文乱码怎么应对(不是编码格式原因造成的); 问题3参考https://www.dazhuanlan.com/2019/08/16/5d55fcd632b0f/ 富文本:缩写问rtf,是一种标准。会以特定的符
增加Xss过滤步骤
weixin_34309435的博客
12-29 143
1、往项目web.xml中增加以下的代码: &lt;!-- xss param过滤开始 bgy 2014-12-25 --&gt; &lt;filter&gt;  &lt;filter-name&gt;XssFilter&lt;/filter-name&gt;  &lt;filter-class&gt;com.jf.app.utils.XssFilter&lt;/filter-class&gt;...
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 3200
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
富文本xss检查过滤比较好的开源项目的使用:htmlpurify,在codeigniter的应用
12-25 257
直接贴代码,能够更好的说明使用: 1,把下载包放到third_party中。 2,在library中创建适合ci使用的类库,代码如下: require APPPATH.'third_party/htmlpurifier/HTMLPurifier.auto.php';//引入放到third_party中的类库文件 class Htmlfilter extends HTMLPurifier
java 富文本 过滤xss_javascript 处理富文本xss攻击
weixin_35976295的博客
02-24 1229
这块 网上挺多,一直没有找到比较好的解决方案,求大神你需要这个屌屌的XSS过滤模块:http://jsxss.com/zh/index.html在线演示:http://jsxss.com/zh/try.html简单使用方法:在页面中引入文件http://rawgit.com/leizongmin/js-xss/master/dist/xss.jsfilterXSS('任何HTML代码'); // ...
富文本编辑器过滤XSS注入(JSOUP)
热门推荐
skyrunner06的专栏
05-15 1万+
众所周知,让用户在富文本编辑器中进行自己的输入绝对不是一个
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
封装HTMLPurifier的富文本过滤器实现自定义白名单机制
08-07
简单封装HTMLPurifier的富文本过滤器,自定义白名单机制,有效杜绝了用户提交表单中的非法HTML标签,从而可以防止XSS攻击!
如何去除富文本中的html标签及vue、react、微信小程序中的过滤器
10-17
通过上述方法,你可以根据具体场景在富文本处理、Vue、React和微信小程序中去除HTML标签,以及应用过滤器。这在开发过程中非常实用,尤其是在处理用户输入和显示动态内容时。正确地使用过滤器不仅可以提高页面的用户...
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2588
java防止XSS攻击
java 富文本 过滤xss_富文本编辑框和防止xss攻击
weixin_35252187的博客
02-16 1164
一、后台管理页面构建1、创建后台管理urlurlpatterns = [...# 后台管理urlre_path("cn_backend/$", views.cn_backend),re_path("cn_backend/add_article/$", views.add_article),...]2、构造视图函数from django.contrib.auth.decorators import ...
富文本进行XSS过滤
weixin_33755649的博客
07-24 705
2019独角兽企业重金招聘Python工程师标准>>> ...
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1431
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
富文本编辑器防止xss攻击
最新发布
07-28
富文本编辑器通常用于网站内容管理,允许用户输入包含各种HTML元素的内容。防止XSS(跨站脚本攻击)是非常重要的,因为攻击者可能会插入恶意脚本,影响其他用户的浏览体验甚至窃取数据。以下是防止XSS攻击的一些常见措施: 1. **输入验证**:对用户输入的数据进行严格的过滤和验证,只允许预期的标签、属性和字符通过。 2. **HTML编码**:将特殊字符如`<`, `>`, `'`, `"`等转换成它们的安全版本,如`<`, `>`, `&apos;`, `"`。 3. **使用安全的API**:使用预处理函数或库来处理用户输入,例如PHP的`htmlspecialchars()`或JavaScript的`DOMPurify`。 4. **CSS Sanitization**:对于CSS样式,只允许安全的样式属性,禁止执行相关的CSS选择器或表达式。 5. **禁用危险的内联样式和事件处理**:避免解析用户输入的内联样式和事件绑定,以防恶意代码注入。 6. **启用Content Security Policy (CSP)**:服务器端设置CSP策略,限制页面可以加载的内容来源和执行的操作。 7. **使用模板引擎或模式匹配**:如果使用的是服务器端渲染,可以利用模板引擎提供的转义功能来自动保护输出。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值