java根据白名单过滤html,防止XSS攻击的方法-使用白名单过滤html标签

最新推荐文章于 2022-03-10 17:27:08 发布
最新推荐文章于 2022-03-10 17:27:08 发布
阅读量1.2k 收藏
点赞数
文章标签: java根据白名单过滤html
本文介绍了如何在Java中防止XSS攻击,提供了两种方法:1) 使用jsoup工具类,通过设定白名单过滤HTML标签,如基本过滤、简单文本过滤、宽松过滤等,并展示如何添加自定义标签;2) 使用Apache ORO库的Perl5Util工具类进行正则表达式匹配,删除非特定标签。这两种方法都是为了确保从富文本编辑框保存到数据库的内容安全。
摘要由CSDN通过智能技术生成

问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容

解决方法一:jsoup工具类

org.jsoup

jsoup

1.8.3

jsoup 使用一个 Whitelist 类用来对 HTML 文档进行过滤,该类提供几个常用方法:

表 1. 常用方法:

none():只允许包含文本信息

basic():允许的标签包括:a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul, 以及合适的属性

simpleText():只允许 b, em, i, strong, u 这些标签

basicWithImages():在 basic() 的基础上增加了图片

relaxed():这个过滤器允许的标签最多,包括:a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

如果这五个过滤器都无法满足你的要求呢,例如你允许用户插入 flash 动画

最低0.47元/天 解锁文章
15911175918
关注
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1095
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签被清...
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
java 去除html中img_JAVA去除HTML标签
weixin_39963853的博客
02-13 574
public static String delHTMLTag(String htmlStr){String regEx_script="]*?>[\\s\\S]*?"; //定义script的正则表达式String regEx_style="]*?>[\\s\\S]*?"; //定义style的正则表达式String regEx_html="]+>"; //定义HTML标签的正则表达式Patte...
java html filter_javaWeb 使用 filter 处理 html 标签问题
weixin_34101914的博客
02-16 215
packagede.bvb.web.filter;importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet....
根据白名单过滤 HTML(防止 XSS 攻击)
xu990128638的专栏
02-08 434
D:\open_source\t1eexx>npm install xss --registry=registry.npm.taobao.org -S npm WARN invalid config registry="registry.npm.taobao.org" npm WARN invalid config Must be a full url with 'http://' npm WARN safety-code@1.0.0 No description npm WARN safe...
java后端 过滤HTML文本,防止XSS攻击 在请求接收过滤所有文本类
weixin_45365266的博客
03-10 1107
添加工具注解 <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.7.22</version> 通过filter方法过滤 String html = “文本内容”; // 结果为:标签过滤掉 String filter = HtmlUtil.filter(html); ...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
JSP过滤防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
java 富文本 过滤xss_XssHtml - 基于白名单的富文本XSS过滤
weixin_39712969的博客
02-16 900
关于富文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法。之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免富文本XSS的产生。总结一下现存的一些XSS Fliter的缺点,可以归纳成以下几条:1...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
js-xss:使用白名单指定的配置对不受信任HTML进行清理(以防止XSS)
02-27
使用白名单指定的配置对不受信任HTML进行清理(以防止XSS)。 xss是用于过滤用户输入以防止XSS攻击的模块。 ( ) 项目主页: : 在线尝试: : 特征 指定HTML标记及其白名单允许的属性 使用自定义功能处理所有标签或属性。 参考 基准(仅供参考) xss模块:22.53 MB / s 来自模块validator@0.3.7 xss()函数:6.9 MB / s 有关测试代码,请参考benchmark目录。 他们正在使用xss模块 nodeclub-使用MongoDB的Node.js bbs- cnpmjs.org-企业专用npm注册表和网站-https : 安装 NPM npm install xss 凉亭 bower install xss 或者 bower install https://github.com/leizongmin/js-xss.gi
使用javaHTML解析器 jsoup来防止XSS攻击
努力让自己更优秀的博客
09-08 1657
1,基本概念 jsoup 是一款JavaHTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。 2,使用jsoup能够做什么 1&amp;amp;amp;amp;gt; 从URL,文字或者字符串中解析HTML; 2&amp;amp;amp;amp;gt;查找和提取数据,使用DOM遍历或者CSS选择器; 3&amp;amp;am
java_过滤HTML标签
bystarlight的博客
05-10 1916
原文链接 java 过滤HTML标签 黄威的世界 2016-05-11 10:26:05 浏览857 评论0 过滤html标签删除html标签 摘要: Java如何过滤HTML标签呢? java过滤html标记   java删除html标签 Java代码   /**       * 删除input字符串中的html格式       *        * @pa
java根据白名单过滤html,对HTML白名单过滤
weixin_34116482的博客
06-08 592
让用户输入HTML的内容是很常见的需求,但是这有一定危险性,可能带来XSS等问题,因此一般大家都要对HTML进行一定过滤。这个过滤并不容易,如元素自不必说,其他还有如onload或onclick事件,甚至一个普通的元素,它的href中也可以执行JavaScript代码。以前我一直有一段用于过滤的C#实现,一直没有出篓子,似乎也挺靠谱,但最近不知怎么的却发现了问题,可能是C & P出错,也...
java过滤html相关标签
YUNWEISAN的博客
07-27 832
目录 过滤img标签 过滤掉字符串中的html标签、style标签、script标签(全部过滤) 后期遇到再添加 过滤img标签 这个可以参考此链接,里面有实时效果 http://java.jsrun.net/aKXKp/edit class Main { public static void main(String[] args) { String contentString = "sdfsd abc---abc <a
Java 过滤Html标签示例
Ricky
03-08 2273
最近在公司负责网络爬虫这块,需要过滤文本结果中的Html标签,研究了一下实现了该功能。 示例代码 package com.yulore.ex; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.junit.Test; public class HTMLFilterTest { @
关于消除不受信任的HTML(来防止XSS攻击
qq_45093248的博客
10-29 726
1.什么是消除不受信任的HTML(来防止XSS攻击)? 引用 2.什么是jsoup? jsoup 是一个用于处理实际HTMLJava库。它使用HTML5最佳DOM方法和CSS选择器,为提取URL以及提取和处理数据提供了非常方便的API。 jsoup实现 WHATWG HTML5 规范,并将HTML解析为与现代浏览器相同的DOM。 从URL,文件或字符串中抓取并解析HTML 使用DOM遍历或CSS选择器查找和提取数据 处理HTML元素,属性和文本 根据安全的白名单清除用户提交的内容,以防止XSS攻击 输出
Java用法】Java 过滤html标签获取纯文本信息
No8g攻城狮的博客
11-28 3381
本文目录 方案一、Hutool工具类 方案二、Spring 自带的工具类 方案三、自己编写正则工具类 这个功能挺简单的,用正则即可实现,但是有很多优秀的人都做过了,你说咱们还有必要重复造轮子吗?过滤HTML标签,也是为了安全起见,它能有效的放置XSS攻击。 方案一、Hutool工具类 cn.hutool.http.HtmlUtil 可以实现Html标签过滤,有很多方法,具体使用需要自行测试。 package com.soft.practice.javacolume1; import cn
Java XssFilter: 防止SQL注入与XSS攻击的实现与应用
本文档介绍了一个Java实现的名为`XssFilter`的Filter,用于过滤并保护应用免受这两种常见攻击。 首先,我们来了解一下SQL注入。SQL注入是一种通过恶意构造SQL查询来获取、修改或删除数据库数据的攻击手段。攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值