在做網(wǎng)站的時(shí)候,經(jīng)常會提供用戶評論的功能。有些不懷好意的用戶,會搞一些腳本到評論內(nèi)容中,而這些腳本可能會破壞整個頁面的行為,更嚴(yán)重的是獲取一些機(jī)要信息,此時(shí)需要清理該HTML,以避免跨站腳本cross-site scripting攻擊(XSS)。
使用jsoup HTML Cleaner 方法進(jìn)行清除,但需要指定一個可配置的 Whitelist。
String unsafe = "Link
";String safe = Jsoup.clean(unsafe, Whitelist.basic());// now:Link
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該頁之時(shí),嵌入其中Web里面的html代碼會被執(zhí)行,從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊,因?yàn)槠浔粍忧也缓美茫栽S多人常忽略其危害性。所以我們經(jīng)常只讓用戶輸入純文本的內(nèi)容,但這樣用戶體驗(yàn)就比較差了。
一個更好的解決方法就是使用一個富文本編輯器WYSIWYG如CKEditor 和 TinyMCE。這些可以輸出HTML并能夠讓用戶可視化編輯。雖然他們可以在客戶端進(jìn)行校驗(yàn),但是這樣還不夠安全,需要在服務(wù)器端進(jìn)行校驗(yàn)并清除有害的HTML代碼,這樣才能確保輸入到你網(wǎng)站的HTML是安全的。否則,攻擊者能夠繞過客戶端的Javascript驗(yàn)證,并注入不安全的HMTL直接進(jìn)入您的網(wǎng)站。
jsoup的whitelist清理器能夠在服務(wù)器端對用戶輸入的HTML進(jìn)行過濾,只輸出一些安全的標(biāo)簽和屬性。
jsoup提供了一系列的Whitelist基本配置,能夠滿足大多數(shù)要求;但如有必要,也可以進(jìn)行修改,不過要小心。
這個cleaner非常好用不僅可以避免XSS攻擊,還可以限制用戶可以輸入的標(biāo)簽范圍。
參閱XSS cheat sheet ,有一個例子可以了解為什么不能使用正則表達(dá)式,而采用安全的whitelist parser-based清理器才是正確的選擇。
參閱Cleaner ,了解如何返回一個 Document 對象,而不是字符串
參閱Whitelist,了解如何創(chuàng)建一個自定義的whitelist
nofollow 鏈接屬性了解
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識,若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
Copyright ? 2019-2025 m.alabama37th.com 版權(quán)所有
違法及侵權(quán)請聯(lián)系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市萬商天勤律師事務(wù)所王興未律師提供法律服務(wù)
