antisamy的使用方法

最新推荐文章于 2023-04-09 10:41:45 发布
最新推荐文章于 2023-04-09 10:41:45 发布
阅读量234 收藏
点赞数
文章标签: c# python java
原文链接:https://my.oschina.net/backtract/blog/133625
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

标 题: antisamy的使用方法
作 者: 狂逆着风

链 接: http://blog.sina.com.cn/s/blog_47d78bed0100wnrs.html

antisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击
有.net和java两个版本,.net推荐用antixss来做,请看使用antixss防御xss
antisamy项目地址: https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
下载地址: http://code.google.com/p/owaspantisamy/downloads/list

最新版本下载:http://search.maven.org/ 搜索 antisamy 选择最新版下载即可

我们下载
antisamy-1.4.4.jar
antisamy-required-libs-1.2.zip
antisamy-slashdot-1.4.4.xml
required-libs解压后,所有jar需要导入项目库,我直接拷贝到/web-inf/lib下了,antisamy-1.4.4解压之后的antisamy-1.4.4.jar也拷贝到此目录
策略文件slashdot.xml放入web路径

输入测试代码
  

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page language="java" import="org.owasp.validator.html.*"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<%
 String id_d = request.getParameter("id");
 if(id_d == null)
  id_d = "";
 
 Policy policy = Policy.getInstance("D:\\antisamy\\antisamy-slashdot-1.4.4.xml");
 AntiSamy as = new AntiSamy();
 
 CleanResults cr = as.scan(id_d, policy);
 String id = cr.getCleanHTML();
 out.println(id);
%>
</body>
</html>

id输入test<>


输出时被转义
输入test<script>

被白名单过滤

转载于:https://my.oschina.net/backtract/blog/133625

weixin_33896726
关注
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 1万+
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
XSS防御-使用AntiSamy
热门推荐
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS的防御中
antisamy的jar包
03-21
xssFilter所需的jar包
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 3157
XSS 是跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
AntiSamy使用总结
rqz__的博客
04-09 923
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7418
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
使用antisamy防范XSS攻击及常用antisamy策略文件
小李专栏
12-20 4509
一般情况下,你可以在预定义的策略文件中找到一个与你站点需求大致匹配的AntiSamy策略文件。这些策略各自代表了一个典型的应用场景,来允许用户提交HTML(可能还有CSS)内容。让我们具体的看一下这些策略文件
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3498
Antisamy(XSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 438
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
antisamy的1.4&&1.5版本
06-17
AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中,AntiSamy对“恶意代码”的过滤依赖于策略文件。策略文件规定了AntiSamy对各个标签、属性的处理方法,策略文件定义的严格与否,决定了AntiSamy对XSS漏洞的防御效果
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
antisamy-sample-configs-1.4.4.jar(antisamy策略文件)
12-20
官网下载,包括以下策略文件: antisamy.xml antisamy-anythinggoes.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot.xml antisamy-tinymce.xml 将jar包解压即可使用
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
antisamy xml
09-29
XML简介参考 http://blog.csdn.net/zhoubiyin/article/details/78136096
antisamy java_AntiSamy解决XSS攻击
weixin_39901332的博客
02-16 200
1、下载jar包2、下载策略文件(里面有各个版本的策略文件)3、自定义过滤器import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;im...
使用AntiSamy防止XSS攻击
weixin_33898876的博客
07-12 166
2019独角兽企业重金招聘Python工程师标准>>> ...
ESAPI自定义配置文件路径
Aaron-x的博客
03-07 4743
原文链接 文章目录 前言 一、pom依赖 二、ESAPI配置文件 1.ESAPI.properties 2.validation.properties 3.esapi-java-logging.properties 4.antisamy-esapi.xml 5.配置文件放置位置 6.自定义配置文件路径,封装ESAPI方法 一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId>
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4547
上传文件流防XSS
AntiSamy防御XSS攻击
最新发布
07-22
使用AntiSamy的基本步骤如下: 1. 引入AntiSamy库:将AntiSamy库添加到你的项目中。 2. 配置策略文件:定义一个策略文件,该文件规定了哪些HTML和CSS标签以及属性是允许的。你可以根据自己的需求自定义策略文件。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值