java 富文本 xss_Jsoup 防止富文本 XSS 攻击

最新推荐文章于 2024-04-02 16:22:30 发布
VIP文章 最新推荐文章于 2024-04-02 16:22:30 发布
阅读量1k 收藏 1
点赞数
文章标签: java 富文本 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39836726/article/details/114211678
版权

服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求

实现原理

Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清除只保留被标签所包裹的内容, 具体详情可查看参考资料

项目依赖

jsoup-1.9.2

org.jsoup

jsoup

1.9.2

代码示例

创建进行测试的 HTML 代码

String testHtml = "

div 标签的内容

p 标签的内容

";

创建一个白名单对象

Whitelist whitelist = new Whitelist();

添加允许使用的标签, 此时只允许 p 标签存在

whitelist.addTags("p");

对测试代码进行过滤, 过滤规则就是创建的白名单

String result1 = Jsoup.clean(testHtml, whitelist);

System.out.println(result1);// 输出: div 标签的内容 < p>p 标签的内容

此时我们发现 div 标签已经被过滤掉了, 但是 p 标签中的属性也同时也被过滤掉了, 因为白名单只允许了 p 标签, 但是并未对属性加入白名单, 此时将 p 标签中的 class 属性加入白名单中, 再进行一次过滤

whitelist.addAttri

最低0.47元/天 解锁文章
weixin_39836726
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
java 富文本 过滤xss_对富文本进行XSS过滤
weixin_39760857的博客
02-16 930
public class AntiXSS {static final Pattern SCRIPT_TAG_PATTERN = Pattern.compile("]*>.*]*>", Pattern.CASE_INSENSITIVE);static final PatternCompiler pc = new Perl5Compiler();static final Perl5Matcher...
富文本编辑器防止XSS攻击
最新发布
lijingyu001的博客
04-02 236
vue.condig.js中配置。
富文本编辑框和防止xss攻击
anmi3721的博客
08-07 1366
一、后台管理页面构建 1、创建后台管理url urlpatterns = [ ... # 后台管理url re_path("cn_backend/$", views.cn_backend), re_path("cn_backend/add_article/$", views.add_article), ... ] 2...
XSS(跨站攻击)的防范利器HTMLPurifier
weixin_39801446的博客
04-18 306
在编程开发时安全问题是及其重要的,对于用户提交的数据要进行过滤,XSS就是需要重视的一点,先说一下什么是XSS,简单来说就是用户提交数据(例如发表评论,发表日志)时往Web页面里插入恶意javascript代码例如死循环,疯狂的alert,这还不算还可能会修改页面页面上的html元素(例如登录表单的action),这样当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到用户的特殊目的。 ...
java 富文本 过滤xss_富文本XSS过滤
weixin_33575756的博客
02-24 1519
富文本内容要替换掉js代码主要防止xss,不是防止注入,防注入参数化写数据库就好了,或者将单引号替换为实体对象在做一些网站(特别是bbs之类)时,经常会有充许用户输入html样式代码,却禁止脚本的运行的需求, 以达到丰富网页样式,禁止恶意代码的运行。 当然不能用 htmlencode 和 htmldecode 方法,因为这样连基本的html代码会被禁止掉。 我在网上搜索,也没有找到好的解决办法,倒...
springboot2.x使用JsoupXSS攻击的实现
10-15
主要介绍了springboot2.x使用JsoupXSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现...
SpringBoot整合XSS.zip
04-30
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
jsoupjsoupJava HTML解析器,构建用于HTML编辑,清理,抓取和XSS安全
02-03
从URL,文件或字符串中抓取并HTML 使用DOM遍历或CSS选择器查找和处理,属性和文本根据安全列表用户提交的内容,以防止XSS攻击输出整洁HTML jsoup旨在处理野外发现的所有各种HTML; 从原始和验证到无效的标签汤; ...
javajsoup
12-29
项目文件夹下jsoup/src/com/start.java是用jsoup过滤xss的例子 src下有jar包
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
富文本编辑器防xss攻击
热门推荐
changhuzhao的专栏
05-18 1万+
富文本编辑器防xss攻击在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。 对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找: 推荐使用UEditor 使用ESAPI
java 富文本 过滤xss_XssHtml - 基于白名单的富文本XSS过滤类
weixin_39712969的博客
02-16 842
关于富文本XSS,我在之前的一篇文章里(http://www.freebuf.com/articles/web/30201.html)已经比较详细地说明了一些开源应用使用的XSS Fliter以及绕过方法。之前我也总结了一些fliter的缺点,利用白名单机制完成了一个XSS Fliter类,希望能更大程度地避免富文本XSS的产生。总结一下现存的一些XSS Fliter的缺点,可以归纳成以下几条:1...
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9479
1.后台添加过滤器&lt;!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --&gt; &lt;context-param&gt; &lt;param-name&gt;defaultHtmlEscape&lt;/param-name&gt; &lt;param-value&gt;true&lt;/param-v...
ueditor java xss_富文本编辑器防xss攻击
weixin_39759995的博客
02-25 879
在平时的开发中,有时需要引入富文本编辑器,由用户来输入信息并保存入数据库。而这也给项目留下了潜在的隐患,如果不在开发时就做好防范,则很容易受到相应的攻击。对于常见的web安全问题,可以参考 web安全(入门篇)现在针对富文本编辑器如何防止xss攻击,给出几点建议,也供自己以后查找:推荐使用UEditor使用ESAPI推荐使用UEditor在多个项目中使用了UEditor,在使用上比较顺手,而且它一...
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2127
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
XSS请求规避富文本内容
沉淀的博客
12-28 2756
package com.yuncai.oa.manage.utils; import java.io.IOException; import java.util.HashSet; import java.util.Set; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.F
java后端怎么接受前端的富文本
08-25
- 过滤非法标签或脚本:为了防止XSS攻击或其他安全风险,后端可以对接收到的HTML内容进行过滤,去除潜在的危险标签或脚本。 - 存储或展示:根据具体需求,后端可以将富文本框的内容存储到数据库中,或者直接在前端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值