owasp java_使用owasp-java-html-sanitizer进行链接提取

最新推荐文章于 2024-09-22 07:00:00 发布

罗恋

最新推荐文章于 2024-09-22 07:00:00 发布

阅读量1.1k

点赞数

文章标签： owasp java

本文链接：https://blog.csdn.net/weixin_30095869/article/details/114458236

版权

我打算使用owasp-

java-html-sanitizer在用户生成的html上执行一些任务.

我想从html字符串中提取一个URL列表.

我还想确保所有链接都将目标设置为“_blank”,这似乎与HtmlPolicyBuilder.requireRelNofollowOnLinks配置类似. (完成)

PolicyFactory linkRewrite = new HtmlPolicyBuilder().allowAttributes("href").onElements("a")

.requireRelNofollowOnLinks().allowElements(new ElementPolicy() {

public String apply(String elementName, List attrs) {

attrs.add("target");

attrs.add("_blank");

return "a";

}

}, "a").toFactory();

这会将target =“_ blank”添加到链接,不确定它是实现它的最佳方法.

这也会提取网址：

.allowElements(new ElementPolicy() {

public String apply(String elementName, List attrs) {

for (int i = 0, n = attrs.size(); i < n; i += 2) {

if ("href".equals(attrs.get(i))) {

urls.add(attrs.get(i + 1));

break;

}

attrs.add("target");

attrs.add("_blank");

return elementName;

}

}, "a")

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

罗恋

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

企业级解决SQL注入、XSS攻击解决案例

MoonR1s3的博客

12-23

3694

企业级解决SQL注入、XSS攻击解决案例 SQL注入和XSS攻击实际上的原理都是通过拼接从而完成攻击，通过简单的黑名单或编码在有些时候并不能完全防御以上两种问题。本文中使用OWASP的owasp-java-html-sanitizer组件，通过Sanitizer（消毒）从而达到避免SQL注入和XSS攻击的效果。注意事项使用该组件进行消毒后，如"><alert(1)>“此字符串会被直接干掉，结果为”&#gt;" 还有在涉及到邮箱@的时候也会被转义入库，但是实际上数据库中存HT

json-sanitizer-transformer:净化 JSON 的 Mule ESB 转换器

07-12

它利用了 OWASP 的 JSON Sanitizer 项目。 Mule 支持的版本骡子 3.5.x 安装对于 beta 连接器，您可以下载源代码并使用 DevKit 构建它，以便在您的本地存储库中找到它。然后，您可以通过帮助 -> 安装新软件 -> ...

参与评论您还未登录，请先登录后发表或查看评论

java-html-sanitizer:采用第三方HTML并生成可安全嵌入到您的Web应用程序中HTML。快速且易于配置

05-02

OWASP Java HTML消毒剂一种快速，易于配置的用Java编写HTML Sanitizer，它使您可以在Web应用程序中包含第三方编写HTML，同时防止XSS。现有的依赖关系在guava和JSR 305上。测试套件仅需要其他jar。 JSR 305依赖项是仅编译的依赖项，仅用于注释。该代码的编写考虑了安全性最佳实践，具有广泛的测试套件，并经过了。目录入门入门包括有关如何使用或不使用Maven的说明。预先包装的政策您可以使用预先打包的策略： PolicyFactory policy = Sanitizers . FORMATTING . and( Sanitizers . LINKS ); String safeHTML = policy . sanitize(untrustedHTML); 制定政策测试显示了如何配置自己的策略： PolicyFac

使用owasp-java-html-sanitizer防止跨站脚本（XSS）攻击导致中文字体样式丢失

qq_37202188的博客

02-01

696

这是由于 owasp-java-html-sanitizer在处理带有单引号的样式属性时，会把它当做STRING的类型去处理，而且是不允许带有中文的，处理的时候会把中文清除。把单引号去掉就不会判断是STRING类型，就不会进入quotedString方法，就不会清除中文。经过以上代码处理后变成了以下的html字符串，隶书被清除了，其中'是单引号。解决办法是在处理标签的属性时，把单引号去掉，这时就不会把样式的中文去掉了。测试html代码如下，里面带有中文的字体：隶书。

Java应用的安全性测试：OWASP Top 10的实践

最新发布

聚娃科技开发者博客

09-22

1286

为了避免这个问题，我们应该避免反序列化不可信的数据，或使用安全的序列化机制。通过上述配置，我们关闭了Spring Boot默认的启动横幅，设置了正确的异常处理，并确保安全调试信息不被暴露。为了确保文件上传的安全性，应对上传的文件类型和大小进行严格的验证。在这个示例中，我们限制了上传的文件类型，只允许.jpg和.png文件，以防止潜在的安全风险。在上述示例中，我们确保反序列化的数据类型是我们预期的类型，从而避免潜在的安全风险。通过配置HTTPS，我们可以确保数据在传输过程中是加密的，从而提高通信的安全性。

OWASP Java HTML 清理器：您的Web应用安全助手

gitblog_00090的博客

05-17

383

OWASP Java HTML 清理器：您的Web应用安全助手 java-html-sanitizer Takes third-party HTML and produces HTML that is safe to embed in your web application. Fast and easy to con...

java保存html标签_Java对html标签的过滤和清洗

weixin_29050513的博客

02-13

406

OWASP HTML Sanitizer 是一个简单快捷的java类库，主要用于放置XSS优点如下：1.使用简单。不需要繁琐的xml配置，只用在代码中少量的编码2.由Mike Samuel(谷歌工程师)维护3.通过了AntiSamy超过95%的UT覆盖4.高性能，低内存消耗5.是AntiSamyDOM性能的4倍1.POM中增加com.googlecode.owasp-java-html-san...

如何在 Java 中清理 HTML

allway2的博客

07-24

778

允许我们非常快速地创建HTML清理策略，覆盖最常见的需求，如果我们想要自定义策略以允许任何元素上的任何属性，它还提供了一个远远超出的API。每当我们的Web应用程序接收到任何将呈现为HTML的文本时，我们都必须清理这些文本以避免潜在的。假设我们的Web应用程序是一个社区网站，其中包含文章和评论。提供了几种创建清理策略的方法（OWASP命名为。提供了一个很好的工具来帮助我们清理HTML。根据我们的政策，我们现在可以使用。这将简单地清理输入字符串。这是我们的Maven。...

owasp-java-html-sanitizer-20160924.1.jar

05-27

javaweb常用jar包，javaee框架常用jar包，亲测可用，若需其他版本可给我留言

bluemonday：bluemonday：一种快速的golang HTML清理程序（受OWASP Java HTML Sanitizer的启发）来清理用户生成的XSS内容

02-04

bluemonday将不受信任的用户生成的内容作为输入，并将返回已针对批准HTML元素和属性的白名单进行过清理HTML，以便您可以安全地将其包含在网页中。如果您接受用户生成的内容，并且服务器使用Go，则需要bluemonday...

owasp-java-encoder:OWASP Java编码器是Java 1.5+的易于使用的嵌入式高性能编码器类，没有依赖关系，而且负担很轻。该项目将帮助Java Web开发人员防御跨站点脚本！

05-23

OWASP Java编码器项目上下文输出编码是停止跨站点脚本编写所必需的计算机编程技术。该项目是Java 1.5+易于使用的嵌入式高性能编码器类，几乎没有负担。开始使用OWASP Java编码器您可以从下载JAR。 JSP标签和EL函数可在encoder-jsp中使用，也可以在。这些罐子也可以在Maven中使用： < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encoder</ artifactId> < version>1.2.3</ version> </ dependency> < dependency> < groupId>org.owasp.encoder</ groupId> < artifactId>encod

json-sanitizer

10-09

njson 開發 json 使用

HtmlSanitizer：清除HTML以避免XSS攻击

02-03

HtmlSanitizer HtmlSanitizer是一个.NET库，用于从构造中清除可能导致HTML片段和文档。它使用来解析，操纵和呈现HTML和CSS。由于HtmlSanitizer基于强大HTML解析器，因此它还可以使您避免故意或意外的“标签中毒”，在该情况下，一个片段中的无效HTML可以破坏整个文档，从而导致布局或样式损坏。为了方便不同的用例，可以在几个级别上自定义HtmlSanitizer：通过属性AllowedTags配置允许HTML标签。所有其他标签将被剥离。通过属性AllowedAttributes配置允许HTML属性。所有其他属性将被剥离。通过属

探索 OWASP Java Encoder：为您的应用程序提供安全保障

gitblog_00076的博客

04-18

432

探索 OWASP Java Encoder：为您的应用程序提供安全保障 owasp-java-encoderThe OWASP Java Encoder is a Java 1.5+ simple-to-use drop-in high-performance encoder class with no dependencies and little baggage. This project ...

Java代码审计----＜OWASP TOP 10 2017＞

逸琅的博客

03-01

706

java代码审计，主要针对 “OWASP TOP 10 2017”漏洞

推荐开源项目：OWASP Java Encoder Project

gitblog_00183的博客

08-16

619

java代码审计2之OWASP TOP10

赵花花08042的博客

10-30

540

----------Owasp top 10 2017---------- 注入 1. SQL注入 1.Jdbc拼接不当导致sql注入 Jdbc有两种方式执行SQL语句 A.Preparestatement：会对SQL语句进行预编译，支持？对变量位进行占位，在预编译阶段填入相应的值构造出完整的SQL语句，这样可避免SQL注入。但开发者有时为了便利，会直接拼接SQL语句，这样则无法阻止SQL注入。 B.Statement：每次执行时都需要编译，增大系统开销 2.框架使用不当造成sql注入对jdbc进行更

OWASP TOP12 详解分享2024，java缓存面试题

2401_84181058的博客

04-11

296

毕竟工作也这么久了，除了途虎一轮，也七七八八面试了不少大厂，像阿里、饿了么、美团、滴滴这些面试过程就不一一写在这篇文章上了。我会整理一份详细的面试过程及大家想知道的一些问题细节。

html 标签富文本内容提取img 及 img中src

xiaoheisboy的博客

04-13

1430

html 标签富文本内容提取img 及 img中src 废话不多say！上代码！ ????记得点赞哦 ???? ????大佬请看???? // 待处理数据 var content="<p><h1>html 标签富文本内容提取img 及 img中src<h1/> <img src="图片地址url"alt="文字描述"> <img src="图片地址" alt="dachshund" width="100%"></p&g