使用java的HTML解析器 jsoup来防止XSS攻击

最新推荐文章于 2024-06-11 16:00:54 发布
最新推荐文章于 2024-06-11 16:00:54 发布
阅读量1.6k 收藏 5
点赞数
文章标签: XSS攻击 过滤器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37642345/article/details/82534452
版权

1,基本概念
jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。
2,使用jsoup能够做什么
1> 从URL,文字或者字符串中解析HTML;
2>查找和提取数据,使用DOM遍历或者CSS选择器;
3>操纵html元素,属性和文本;
4>使用白名单,过滤用户提交的内容,防止XSS攻击;
5>输出整洁的html。
3,jsoup中重要的类:Whitelist类,继承Object类,默认的配置方法有如下:

none():只保留文本,其他所有的html内容均被删除

simpleText():只允许: b, em, i, strong, u.

basic():允许的标签包括: a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul

basicWithImages():在basic的基础上增加了图片的标签:img以及使用src指向http或https类型的图片链接。

relaxed():允许的标签: a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul。

4,在项目中,如何使用jsoup中的whitelist防止XSS攻击
第一步:maven项目,pom.xml文件中引入

    <!--Jsoup-->
    <dependency>
       <groupId>org.jsoup</groupId>
       <artifactId>jsoup</artifactId>
       <version>1.10.2</version>
    </dependency>

第二步:使用过滤器的方法对需要的请求路径做过滤

(1)XSSFilterUtil实现HttpServletRequestWrapper,

  import org.apache.commons.lang3.StringUtils;
  import org.jsoup.Jsoup;
  import org.jsoup.nodes.Document;
  import org.jsoup.safety.Whitelist;
  import javax.servlet.http.HttpServletRequest;
  import javax.servlet.http.HttpServletRequestWrapper;

 /**
      * @author zhangna
      * @version Id: XSSFilterUtil.java, v 0.1 2018/4/4 下午2:28 zhangna Exp $$
      */

public class XSSFilterUtil extends HttpServletRequestWrapper {
    public XSSFilterUtil(HttpServletRequest request) {
        super(request);
    }

@Override
public String getParameter(String name) {
    return Jsoup.clean(name, Whitelist.none());
}

@Override
public String[] getParameterValues(String name) {
    String requestURI = getRequestURI();
    if (StringUtils.equals(requestURI,"/**请求路径**") && StringUtils.equals(name,"**请求的参数**")) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed());
            }
            return escapseValues;
        }
    } else {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = Jsoup.clean(values[i],"", Whitelist.none(),new Document.OutputSettings().prettyPrint(false));
            }
            return escapseValues;
        }
    }
    return super.getParameterValues(name);
}

}
注意:利用过滤器实现jsoup对请求的过滤时,默认时是过滤所有的请求,但是如果想要做部分过滤的话,应该使用 getRequestURI()的方法获取当前请求的路径,然后根据需要对路径进行过滤,进一步,还可以精确到过滤请求路径的某个请求参数上面。

(2)XSSFilter实现Filter接口

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
   * @author zhangna
   * @version Id: XSSFilter.java, v 0.1 2018/4/4 下午2:24 zhangna Exp $$
    */

  public class XSSFilter implements Filter{
  
    @Override
     public void init(FilterConfig filterConfig) throws ServletException {

  }

  @Override
  public void doFilter(ServletRequest servletRequest, ServletResponse         servletResponse, FilterChain filterChain) throws IOException, ServletException {
    filterChain.doFilter(new XSSFilterUtil((HttpServletRequest) servletRequest),    servletResponse);
}

  @Override
  public void destroy() {

 }

}

(3)在web.xml中配置自己写的过滤器让其生效

 <!--自定义过滤器-->
<filter>
    <filter-name>XSSFilter</filter-name>
   <filter-class>com.zhangna.ssm.mng.common.filter.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

使用jsoup实现防止XSS攻击就到此完毕。

努力让自己更优秀
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
java16%3e%3e2_springboot2.x使用JsoupXSS攻击的实现
weixin_29041195的博客
02-26 564
后端应用经常接收各种信息参数,例如评论,回复等文本内容。除了一些场景下面,可以特定接受的富文本标签和属性之外(如:b,ul,li,h1, h2, h3...),需要过滤掉危险的字符和标签,防止xss攻击。一、什么是XSS?看完这个,应该有一个大致的概念。二、准则永远不要相信用户的输入和请求的参数(包括文字、上传等一切内容)参考第1条三、实现做法结合具体业务场景,对相应内容进行过滤,这里使用Jsou...
springboot2.x使用JsoupXSS攻击的实现
10-15
Jsoup是一款强大的Java HTML解析器,它提供了丰富的API用于解析、操作和清洁HTML文档。其中,`Whitelist`类是Jsoup的核心功能之一,它允许我们定义一个安全HTML元素和属性列表,仅允许特定的HTML标签和属性通过,...
使用JSOUP实现网络爬虫】清理HTML-消除不受信任的html (来防止xss攻击)
热门推荐
Cross
11-18 1万+
问题在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。方法使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。String unsafe = "L
【网络安全】跨站脚本攻击漏洞—HTML前端基础
最新发布
goldfish8848的博客
06-11 1276
网络安全基础——XSS前置知识,HTML基础梳理
使用 Jsoup 防御 XSS 攻击
编码行者的博客
05-07 1558
跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 使用 Jsoup 可以有效的过滤不安全的代码。Jsoup 使用白名单的机制来预防 XSS 攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都
使用Jsoup防御XSS攻击
兴趣是最好的老师
12-09 2560
使用Jsoup防御XSS攻击 | MrBird
Jsoup 防止富文本 XSS 攻击
波板糖的博客
11-05 1579
Jsoup 防止富文本 XSS 攻击 服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java使用 Jsoup 正好可以满足此要求 实现原理 Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTM...
基于JavaHTML解析器 jsoup.zip
06-15
**Java HTML解析器——jsoup详解** 在现代Web开发中,处理HTML文档是常见的任务,无论是从网页抓取数据、解析HTML结构还是进行自动化测试,都需要高效且可靠的HTML解析工具。`jsoup`是一个强大的Java库,专为处理...
基于Java的源码-HTML解析器 jsoup.zip
07-15
**HTML解析器jsoup简介** jsoup是一款强大的Java库,专为处理HTML文档而设计。它提供了简单易用的API,使得开发者可以方便地提取和操作数据,类似于jQuery的语法风格,大大简化了HTML解析的过程。jsoup的核心功能...
jsoupJava HTML 解析器
10-27
jsoupJava HTML 解析器 jsoup是一个用于处理现实世界 HTMLJava 库。它使用最好的 HTML5 DOM 方法和 CSS 选择器,提供了一个非常方便的 API,用于获取 URL 以及提取和操作数据。 jsoup实现了WHATWG HTML5规范...
基于Java的实例开发源码-HTML解析器 jsoup.zip
06-17
这在处理用户输入或者不信任的HTML源时非常有用,可以防止XSS(跨站脚本攻击)。 在标签"java"和"软件/插件"下,我们可以理解jsoup是一个Java编程语言中的软件组件,它可以被集成到各种Java应用中,如Web爬虫、数据...
Jsoup消除不受信任的HTML(用于防止XSS的攻击)
weixin_45743799的博客
01-27 209
在开发网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 我们可以使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。 String unsafe = "...
使用Jsoup防止XSS攻击
刘迪敏的专栏
01-17 3199
树挪死,人挪活。 大城市小人物,生活最终会把你变成你讨厌的人。 前阵子项目国测后,打开一个项目页面,莫名其妙弹出xss,搜了全局也没找到alert("xss"),问了一下项目经理,原来是国测做防注入的时候,在添加数据的时候做的,一脸懵逼。 查了一下资料,以前做项目的时候都没想到这个问题,如果保存一段script脚本,查数据的时候,这段脚本就会被执行,这东西后果挺严重啊,如果是在桌面外弹框...
使用Jsoup消除不受信任的HTML (来防止XSS攻击)
SiC B2B2C Shop大型B2B2C商城软件产品,使用Java语言开发,高性能高扩展性高安全性分布式。可帮助你快速的建立大型B2B2C电商系统
05-20 669
  问题--XSS攻击 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。   方法--过滤 可以选用的工具有: Jsoup 是一款 JavaHTML 解析器,可直接解析某个URL地...
有效预防xss_使用Jsoup防御XSS攻击
weixin_39797393的博客
01-10 77
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名单的机制来预防XSS...
使用Jsoup.clean消除不受信任的HTML (防止XSS攻击)
qq_33915826的博客
02-24 5201
转自:[Jsoup] 使用Jsoup消除不受信任的HTML (防止XSS攻击) 防止XSS攻击的策略个人总结大致有几种: 使用正则设置白名单/黑名单进行过滤 通过dom对象进行黑名单/白名单的过滤 使用第三方类库Jsoup/AntiXSS等进行过滤HTML标签来防止XSS 本文章将主要介绍使用Jsoup消除不受信任的HTML防止XSS攻击 1. 如何使用Jsoup进行清除HTML标签操作 使...
springBoot:集成jsoup解决安全漏洞之XSS注入攻击
拒绝熬夜啊的博客
12-07 1240
springBoot:集成jsoup解决安全漏洞之XSS注入攻击
java删除所有html代码,防止XSS攻击
weixin_41711593的博客
01-30 341
/**   * 删除所有的HTML标签   *   * @param source 需要进行除HTML的文本   * @return   */ public static String deleteAllHTMLTag(String source) {     if(source == null) {        return "";     }     String s = source; ...
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSS和SQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值