Beetl解决XSS问题(AntiSamy)

最新推荐文章于 2023-04-09 10:41:45 发布
最新推荐文章于 2023-04-09 10:41:45 发布
阅读量396 收藏
点赞数
文章标签: python git java
原文链接:https://my.oschina.net/smile622/blog/300137
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

很多时候,我们为了安全,会对存储的信息,进行转义,过滤等处理,这样带来的坏处是,破坏原始的数据,而且转义会占用多余的空间.

本人使用JFinal框架,开始考虑过全局设置过滤器,有的不需要的也会转义,不是很友好~

后来发现这边文章http://www.iteye.com/topic/1123423 ,通过Beetl来处理XSS这一类的问题

首先,自定义一个格式化类XSSDefenseFormat.java 

import org.apache.commons.lang.StringEscapeUtils;
import org.beetl.core.Format;
import org.owasp.validator.html.*;
/**
 * Created by yinjun622 on 14-8-11.
 */
public class XSSDefenseFormat implements Format {


    @Override
    public Object format(Object data, String pattern) {
        if (null == data) {
            return null;
        } else {

            try {
                Policy policy = Policy.getInstance(PathKit.getRootClassPath()+"/antisamy.xml");  //antisamy.xml采用官方给出的ebay的模板
                AntiSamy as = new AntiSamy(policy);

                String content = (String) data;
          
          if ("escape".equals(pattern)) {
                    content = StringEscapeUtils.escapeHtml(content);
                }

          // clean content
                CleanResults cr = as.scan(content);
                content = cr.getCleanHTML();

                return content;

            } catch (ScanException e) {
                return "系统错误";
            } catch (PolicyException e) {
                return "系统错误";
            }

        }
    }
}

antisamy.xml文件地址:

http://git.oschina.net/yinjun622/JFinal-Shiro-JDBC-Demo/blob/master/antisamy.xml


然后注册该格式化 
groupTemplate.registerFormat("xss", new XSSDefenseFormat());



最后针对需要的地方,进行xss处理,默认是不对html进行转义输出的,因为在使用副编辑器后,会带用html,转义的话页面显示需要处理,所以默认不转义. 

${a.name, xss}


如果输出的html需要转义那么使用: 

${a.name, xss="escape"}




使用结果不再弹出alert提示

可以根据自己实际需求,自定义一些其他方法.

转载于:https://my.oschina.net/smile622/blog/300137

weixin_33775582
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3415
AntisamyXSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
知了CMS开发说明文档(ibeetl) 建站系统文档
No8g攻城狮的博客
11-22 2010
目录 知了CMS开发说明文档 一、项目介绍 二、项目结构 三、项目基础 3.1、前台入口控制器类: 3.2、后台入口控制器类: 3.3、项目配置文件 3.4、项目启动与打包 四、相关技术 五、模板标签 5.1、栏目列表标签 5.2、栏目标签 5.3、内容列表标签 5.4、内容列表分页标签(此标签只能在list页面使用) 5.6、友情链接标签 5.7、面包屑导航标签...
beetl html 转义,Beetl解决XSS问题
weixin_42692935的博客
06-15 317
很多时候,我们为了安全,会对存储的信息,进行转义,过滤等处理,这样带来的坏处是,破坏原始的数据,而且转义会占用多余的空间.本人使用JFinal框架,开始考虑过全局设置过滤器,有的不需要的也会转义,不是很友好~首先,自定义一个格式化类XSSDefenseFormat.javaimport org.apache.commons.lang.StringEscapeUtils;import org.bee...
漏洞篇(XSS 跨站脚本攻击一)
m0_58001548的博客
04-08 2298
1、Cookie 概述:Cookie 是一些数据, 存储于你电脑上的文本文件中。当 web 服务器向浏览器发送 web 页面时,在连接关闭后,服务端不会记录用户的信息。Cookie 的作用就是用于解决 "如何记录客户端的用户信息":(1)、当用户访问 web 页面时,他的名字可以记录在 cookie 中。2)、在用户下一次访问该页面时,可以在 cookie 中读取用户访问记录。Cookie 以键值对形式存储,如下所示:
Web漏洞-XSS平台简介-相关知识点补充(cookie与session)
ran的博客
03-14 1994
首页(注册)。成功注册后的主页。按照如下路径填写相关信息后点击下一步。之后会返回项目相关的功能。勾选默认模块后点击下一步。点击下一步后,平台会为你创建一个项目。下滑后可以看到平台生成的测试语句。这里我们引用平台生成的最后一条语句。输入网站内的对应位置后点击提交。可以看到成功提交了。来到管理员界面可以看到查看留言的位置。点击进入查看后便发现网站弹出了一个弹窗,说明网站成功执行了js代码。
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
防止XSS攻击解决办法
01-20
XSS(Cross-site scripting)攻击是一种常见的网络安全威胁,它利用了网站对用户输入的不当处理,使得攻击者能够注入恶意脚本,进而控制或者窃取用户的浏览器数据。防止XSS攻击是保护Web应用安全的重要一环,对于...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
xss解决方案.zip
03-13
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它允许攻击者在用户浏览器上执行恶意脚本。这些脚本可以盗取用户的Cookie、会话信息,甚至控制用户界面,严重威胁了网站的安全性。针对XSS攻击,...
Beetl3.0 功能预览
weixin_34345560的博客
04-15 758
为什么80%的码农都做不了架构师?>>> ...
beetl模板引擎的好玩的地方
weixin_33963594的博客
02-14 113
为什么80%的码农都做不了架构师?>>> ...
AntiSamy的使用总结
rqz__的博客
04-09 631
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7249
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1706
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
AntiSamy防跨站脚本攻击(XSS)快速入门
我要记录学习博客
08-29 924
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 2858
XSS 是跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
Beetl的极简之道
weixin_34240520的博客
12-29 188
为什么80%的码农都做不了架构师?>>> ...
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值