有效预防xss_使用Jsoup防御XSS攻击

最新推荐文章于 2022-12-07 11:04:00 发布
最新推荐文章于 2022-12-07 11:04:00 发布
阅读量92 收藏
点赞数
文章标签: 有效预防xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39797393/article/details/112530994
版权

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名单的机制来预防XSS攻击,比如白名单中规定只允许标签的存在,那么其他标签都会被过滤掉。

常见的XSS攻击

比如页面的某个表单允许用户输入任意内容,当某个调皮的用户输入如下内容:

2dc67e171c34e5851e9f47cd2ee94a44.png

保存后,你会发现页面文字都变成了红色!

ee34fe79aa516528adc8f7c9ce63a270.png

或者输入,保存后页面将弹窗10次!

引入Jsoup

使用Maven构建一个简单的Spring Boot项目,在pom中引入:

12345org.jsoup jsoup 1.9.2

JsoupUtil

创建一个JsoupUtil工具类:

import java.io.FileNotFoundException;import java.io.IOException;import org.jsoup.Jsoup;import org.jsoup.nodes.Document;import org.jsoup.safety.Whitelist;/** * Xss过滤工具 * */public class JsoupUtil { private static final Whitelist whitelist = Whitelist.basicWithImages(); /* * 配置过滤化参数,不对代码进行格式化 */ private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false); static { /* * 富文本编辑时一些样式是使用style来进行实现的 比如红色字体 style="color:red;" 所以需要给所有标签添加style属性 */ whitelist.addAttributes(":all
weixin_39797393
关注
java16%3e%3e2_springboot2.x使用JsoupXSS攻击的实现
weixin_29041195的博客
02-26 587
后端应用经常接收各种信息参数,例如评论,回复等文本内容。除了一些场景下面,可以特定接受的富文本标签和属性之外(如:b,ul,li,h1, h2, h3...),需要过滤掉危险的字符和标签,防止xss攻击。一、什么是XSS?看完这个,应该有一个大致的概念。二、准则永远不要相信用户的输入和请求的参数(包括文字、上传等一切内容)参考第1条三、实现做法结合具体业务场景,对相应内容进行过滤,这里使用Jsou...
java 富文本 xss_Jsoup 防止富文本 XSS 攻击
weixin_39836726的博客
02-16 1094
服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求实现原理Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清...
springboot2.x使用JsoupXSS攻击的实现
10-15
主要介绍了springboot2.x使用JsoupXSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用Jsoup消除不受信任的HTML (来防止XSS攻击)
SiC B2B2C Shop大型B2B2C商城软件产品,使用Java语言开发,高性能高扩展性高安全性分布式。可帮助你快速的建立大型B2B2C电商系统
05-20 678
  问题--XSS攻击 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。   方法--过滤 可以选用的工具有: Jsoup 是一款 Java 的HTML 解析器,可直接解析某个URL地...
使用 Jsoup 防御 XSS 攻击
编码行者的博客
05-07 1642
跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 使用 Jsoup 可以有效过滤不安全的代码。Jsoup 使用白名单的机制来预防 XSS 攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都
使用Jsoup防御XSS攻击
兴趣是最好的老师
12-09 2594
使用Jsoup防御XSS攻击 | MrBird
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现...
SpringBoot2 学习笔记(四)——使用Jsoup防御XSS攻击
haliaddel的博客
12-15 625
什么是XSS攻击 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 使用Jsoup可以有效过滤不安全的代码。Jsoup使用白名...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
阿啄debugIT
02-09 2148
前言 SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入,以下是涉及的主要类: 原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...
使用java的HTML解析器 jsoup防止XSS攻击
努力让自己更优秀的博客
09-08 1656
1,基本概念 jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。 2,使用jsoup能够做什么 1&amp;amp;amp;amp;gt; 从URL,文字或者字符串中解析HTML; 2&amp;amp;amp;amp;gt;查找和提取数据,使用DOM遍历或者CSS选择器; 3&amp;amp;am
防止XSS攻击xssProtect
01-09
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
xss 检查工具类
08-08
NULL 博文链接:https://lspgdut.iteye.com/blog/2145092
java的jsoup
12-29
项目文件夹下jsoup/src/com/start.java是用jsoup过滤xss的例子 src下有jar包
Jsoup消除不受信任的HTML(用于防止XSS的攻击)
weixin_45743799的博客
01-27 243
在开发网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是获取一些机要信息,此时需要清理该HTML,以避免跨站脚本cross-site scripting攻击(XSS)。 我们可以使用jsoup HTML Cleaner 方法进行清除,但需要指定一个可配置的 Whitelist。 String unsafe = "...
Spring Boot 使用 Jsoup 拦截XSS
吃西瓜不吐葡萄皮
01-12 642
文章来源:转载以便下次可以找到:https://zdran.com/20180511.html 文章目录目标工具实现原理参数拦截脚本过滤 目标 使用 Spring Boot 的 Filter 对参数拦截,使用 Jsoup 对 参数中的 XSS进行过滤。 工具 Spring Boot 2.0 Jsoup(可选) 实现原理 Spring Boot 的 Filter 拦截到前端的参数后进行过滤(看着是不是很简单??)。 说白了就是两个功能:参数拦截、脚本过滤。 参数拦截 想要过滤XSS首先要能拦截到前端的
springBoot:集成jsoup解决安全漏洞之XSS注入攻击
最新发布
拒绝熬夜啊的博客
12-07 1349
springBoot:集成jsoup解决安全漏洞之XSS注入攻击
处理XSS漏洞的工具类代码
动感超人的专栏
02-18 5269
处理XSS漏洞的工具类代码,过滤 js 代码,防止 xss 漏洞的发生
Java 富文本XSS攻击防御,基于Jsoup的白名单过滤
withwindluo的博客
12-10 3636
1. jsoup依赖 <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.12.1</version> </dependenc
SpringBoot2.x使用Jsoup防范XSS攻击实战
SpringBoot 2.x作为流行的Java Web框架,提供了一种有效的方法来防御XSS攻击,那就是集成Jsoup库。 一、XSS攻击详解 XSS攻击是由于应用程序未能正确处理用户输入导致的。攻击者可以通过注入JavaScript、HTML或其他...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值