java 富文本 过滤xss_对富文本进行XSS过滤

最新推荐文章于 2023-05-12 17:12:17 发布
最新推荐文章于 2023-05-12 17:12:17 发布
阅读量980 收藏
点赞数
文章标签: java 富文本 过滤xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39760857/article/details/114210487
版权
该博客介绍了一个Java类`AntiXSS`,用于过滤富文本中的XSS攻击。通过正则表达式匹配和替换,它能移除脚本标签、事件属性、ASCII和十六进制编码、CSS表达式等可能的XSS注入点,确保富文本内容的安全。
摘要由CSDN通过智能技术生成

public class AntiXSS {

static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile(

"]*>", Pattern.CASE_INSENSITIVE);

static final PatternCompiler pc = new Perl5Compiler();

static final Perl5Matcher matcher = new Perl5Matcher();

public static String antiXSS(String content) {

if(content == null || "".equals(content)) {

return "";

}

String old = content;

String ret = _antiXSS(content);

while (!ret.equals(old)) {

old = ret;

ret = _antiXSS(ret);

}

return ret;

}

private static String _antiXSS(String content) {

try {

return stripAllowScriptAccess(stripProtocol(stripCssExpression(stripAsciiAndHex(stripEvent(stripScriptTag(content))))));

} catch (Exception e) {

最低0.47元/天 解锁文章
weixin_39760857
关注
【甲方安全建设】富文本编辑器XSS漏洞攻击及防御详析
等风来
08-31 2349
随着Web 2.0技术的普及,富文本编辑器在各种Web应用中得到了广泛应用,用户、网站管理员等可以通过富文本编辑器在网页中添加并展示格式化文本、图片、视频等丰富内容。然而,由于富文本内容本质上涉及客户端输入,并且可能包含HTML、JavaScript等代码,处理不当时容易引发跨站脚本攻击(XSS)。
java 富文本 过滤xss_XssHtml - 基于白名单的富文本XSS过滤
weixin_39712969的博客
02-16 909
关于富文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法。之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免富文本XSS的产生。总结一下现存的一些XSS Fliter的缺点,可以归纳成以下几条:1...
java 富文本 过滤xss_富文本编辑框和防止xss攻击
weixin_35252187的博客
02-16 1204
一、后台管理页面构建1、创建后台管理urlurlpatterns = [...# 后台管理urlre_path("cn_backend/$", views.cn_backend),re_path("cn_backend/add_article/$", views.add_article),...]2、构造视图函数from django.contrib.auth.decorators import ...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1611
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1111
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清...
Java 富文本XSS攻击防御,基于Jsoup的白名单过滤
withwindluo的博客
12-10 3700
1. jsoup依赖 <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.12.1</version> </dependenc
java 富文本 过滤xss_javascript 处理富文本xss攻击
weixin_35976295的博客
02-24 1247
这块 网上挺多,一直没有找到比较好的解决方案,求大神你需要这个屌屌的XSS过滤模块:http://jsxss.com/zh/index.html在线演示:http://jsxss.com/zh/try.html简单使用方法:在页面中引入文件http://rawgit.com/leizongmin/js-xss/master/dist/xss.jsfilterXSS('任何HTML代码'); // ...
java 富文本 过滤xss_集成富文本编辑器XSS预防过滤措施
weixin_39642990的博客
02-24 175
import reimport copyfrom html.parser import HTMLParserclass XSSHtml(HTMLParser):allow_tags = [‘a‘, ‘img‘, ‘br‘, ‘strong‘, ‘b‘, ‘code‘, ‘pre‘,‘p‘, ‘div‘, ‘em‘, ‘span‘, ‘h1‘, ‘h2‘, ‘h3‘, ‘h4‘,‘h5‘, ‘h6‘...
java 富文本 xss_个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_39664010的博客
02-16 1198
昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。类似这种:我立刻认识到这事件严重性,它说明我的博客有严重安全问题。因为xss跨站脚本攻击可能导致用户Cookie甚至服务器Session用户信息被劫持,后果严重。虽然攻击...
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
ueditor java xss_富文本编辑器防xss攻击
weixin_39759995的博客
02-25 922
在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找:推荐使用UEditor使用ESAPI推荐使用UEditor在多个项目中使用了UEditor,在使用上比较顺手,而且它一...
新增富文本单元格和XSS过滤
qq_57278020的博客
10-19 590
皕杰设计器新增了单元格富文本类型,我们在一些网站编辑文章的时候经常可以看到富文本和markdown等编辑器,其中以Word为例,输入文字后,选择不同的功能(通常是通过点击某个图标),例如加粗或者调整字体大小,处理后的效果直接显示在屏幕上,与打印出来的效果相同。为了解决由于编码问题而导致的找不到模板文件以及解决安全扫描中XSS注入风险问题,皕杰报表web端新增了两个过滤器供选择,一个是字符编码过滤器(CharacterEncodingFilter),一个是XSS过滤器(XssRequestFilter)。
java 富文本 xss_KindEditor开源富文本编辑框架XSS漏洞
weixin_35703673的博客
02-24 829
原标题:KindEditor开源富文本编辑框架XSS漏洞*原创作者:卫士通 安全服务事业部 天龙,叶龙,本文属FreeBuf原创奖励计划,未经许可禁止转载0×01 前言KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使...
java处理XSS过滤的方法
psiitoy的专栏
10-24 4191
2 人收藏此文章, 发表于3个月前(2013-07-24 14:08) , 已有 200 次阅读 ,共 5 个评论 如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤 如果采用了struts2,那么需要重写StrutsRequestWrapper 如果没有采用struts2,那么直接重写HttpServletRequestWraper 在自定
富文本输出如何避免XSS
jimmyleeee的专栏
05-12 3505
有时网站为了美观,会允许用户输入一些富文本,这样在显示的时候,就可以显示的更友好。虽然在输入富文本的时候在客户端进行了控制,但是,仍然难易避免一些攻击者通过抓包篡改数据绕过客户端的控制。因此,在服务器端收到富文本的数据之后,还是要进行净化处理。
Java web富文本
最新发布
06-06
4. 在保存富文本内容之前,需要对其进行 XSS 过滤,以防止恶意脚本注入。您可以使用 OWASP Java Encoder 库进行 XSS 过滤。例如: ```java String safeContent = ESAPI.encoder().encodeForHTML(content); ``` 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值