java 富文本 过滤xss_javascript 处理富文本中xss攻击

最新推荐文章于 2023-05-12 17:12:17 发布
最新推荐文章于 2023-05-12 17:12:17 发布
阅读量1.1k 收藏 1
点赞数
文章标签: java 富文本 过滤xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35976295/article/details/114585818
版权

这块 网上挺多,一直没有找到比较好的解决方案,求大神

你需要这个屌屌的XSS过滤模块:http://jsxss.com/zh/index.html

在线演示:http://jsxss.com/zh/try.html

简单使用方法:

在页面中引入文件

http://rawgit.com/leizongmin/js-xss/master/dist/xss.js

filterXSS('任何HTML代码'); // => 将返回经过滤安全无害的HTML代码

另外这个XSS过滤模块支持白名单过滤配置,你可以定制适合自己场景的过滤规则。

xss.svg?style=flat-square&objectId=1020000004020906&token=1f9270518b6a6053de6b1d33ed8cb0ec

xss.svg?style=flat-square&objectId=1020000004020906&token=a81fa50f8cc2d1a5fb994bda91131bab

用正则过滤“”,把获取的内容做转义处理

个人临时解决办法:个人写的一个正则

return str.replace(/<script/g, "&lt;script").replace(/script>/g, 'script&gt;').replace(/<img/g, "&lt;img").replace(/<script.*>.*<\/script.*>/g, "").replace(/on(error|mousewheel|mouseover|click|load|onload|submit|focus|blur|start)=[^"]*/g, "");

富文本显示,过滤script,过滤onerror

这个有个问题就是js过滤不了了

还是求一个最终解决办法

var chars={

char: function (str, reg) {

return str ? str.replace(reg || /[&<">'](?:(amp|lt|quot|gt|#39|nbsp);)?/g, function (a, b) {

if (b) {

return a;

} else {

return {

'<':'&lt;',

'&':'&amp;',

'"':'&quot;',

'>':'&gt;',

"'":'''

}[a]

}

}) : '';

},

html:function (str) {

return str ? str.replace(/&((g|l|quo)t|amp|#39);/g, function (m) {

return {

'&lt;':'<',

'&amp;':'&',

'&quot;':'"',

'&gt;':'>',

''':"'"

}[m]

}) : '';

}

};

调用chars.char(“………………”);

还原chars.html(“………………”);

FromNowToNow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串至少要有html显示标签.
java服务端过滤富文本恶意js脚本
qq_37913231的博客
10-26 461
java服务端过滤富文本恶意js脚本
HTMLPurifier laravel 过滤输入文本防止XSS攻击安装使用
lhw413的博客
06-28 3913
Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/。
原生js过滤html换行,JS过滤(去除)富文本编辑器的HTML标签和换行回车等标记的正则表达式...
weixin_33387339的博客
06-02 544
reactjs的写法:this.fiterLabelHandle(this.state.majorInfoList.schemeIntroduce); // 调用过滤掉没用的格式或字符的方法其this.state.majorInfoList.schemeIntroduce的格式如:测试账号 信息学院:20081077外国语学院:20051012 admin1前端优化2系统级别3方案版本管理...
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
1.java处理xss攻击 2.layer处理xss攻击
01-20
xss攻击处理的几种方式
自动绕过 XSS过滤器_Java_代码_相关文件_下载
07-12
动绕过 XSS 过滤器 概述 snuck 是一个自动工具,其目标是通过基于反射上下文的专门注入来显着测试给定的 XSS 过滤器。这种方法采用 Selenium 来驱动 Web 浏览器来重现攻击者和受害者的行为。 更多详情、使用方法,...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
Cross Site Scripting
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 2584
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理
修复富文本编辑器引起的XSS安全问题
weixin_45394033的博客
10-24 2762
在平时使用的富文本编辑器也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交的数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
富文本编辑器 xss 攻击的解决
热门推荐
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
富文本XSS攻击防御,基于Jsoup的白名单过滤
爱偷懒的河马先生的博客
06-29 454
富文本XSS攻击防御
新增富文本单元格和XSS过滤
qq_57278020的博客
10-19 520
皕杰设计器新增了单元格富文本类型,我们在一些网站编辑文章的时候经常可以看到富文本和markdown等编辑器,其以Word为例,输入文字后,选择不同的功能(通常是通过点击某个图标),例如加粗或者调整字体大小,处理后的效果直接显示在屏幕上,与打印出来的效果相同。为了解决由于编码问题而导致的找不到模板文件以及解决安全扫描XSS注入风险问题,皕杰报表web端新增了两个过滤器供选择,一个是字符编码过滤器(CharacterEncodingFilter),一个是XSS过滤器(XssRequestFilter)。
Java 富文本XSS攻击防御,基于Jsoup的白名单过滤
withwindluo的博客
12-10 3255
1. jsoup依赖 <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.12.1</version> </dependenc
java 富文本 过滤xss_对富文本进行XSS过滤
weixin_39760857的博客
02-16 930
public class AntiXSS {static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile("]*>.*]*>", Pattern.CASE_INSENSITIVE);static final PatternCompiler pc = new Perl5Compiler();static final Perl5Matcher...
java处理XSS过滤的方法
psiitoy的专栏
10-24 4160
2 人收藏此文章, 发表于3个月前(2013-07-24 14:08) , 已有 200 次阅读 ,共 5 个评论 如果系统,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤 如果采用了struts2,那么需要重写StrutsRequestWrapper 如果没有采用struts2,那么直接重写HttpServletRequestWraper 在自定
java 富文本 过滤xss_集成富文本编辑器XSS预防过滤措施
weixin_29230805的博客
02-24 355
# https://github.com/phith0n/python-xss-filterimport reimport copyfrom html.parser import HTMLParserclass XSSHtml(HTMLParser):allow_tags = ['a', 'img', 'br', 'strong', 'b', 'code', 'pre','p', 'div', '...
java过滤处理xss
11-21
以下是Java过滤处理XSS攻击的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;import javax.servlet....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值