如何安全防範我們的Web應用程序受到XSS攻擊?如果一個應用程序沒有對特殊字符轉換器進行任何轉換,那麼這個應用程序易受攻擊。如何避免XSS攻擊的應用程序?
10
A
回答
10
1
只需添加到WhiteFang34名單:
它有幾個白名單內置可供選擇,如允許一些HTML,沒有HTML等
我選擇了這個在,因爲它是如何Apache的百科全書的StringEscapeUtils.escapeHtml()
處理撇號。即如果我們的用戶輸入:
艾倫的媽媽有一個很好的布朗尼食譜。
JSoup將獨自離開撇號,而Apache的百科全書將逃脫字符串:
艾倫\'媽媽有一個很好的布朗尼食譜。
在顯示給用戶之前,我不想擔心無法消除。
2
HTML轉義輸入工作得很好。 但在某些情況下,業務規則可能會要求您不要轉義HTML。 使用REGEX不適合該任務,使用它很難提出一個好的解決方案。
我發現最好的解決辦法是使用: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer
它建立與所提供的輸入DOM樹和過濾器由白名單不previosly允許的任何元素。該API還有其他用於清理html的函數。
相關問題
- 1. 如何避免XSS攻擊
- 2. 檢查模式以避免XSS攻擊
- 3. 如何避免使用css x:表達式的XSS攻擊?
- 4. 如何在PHP中避免SQL注入和XSS攻擊?
- 5. CakePhp:避免XSS攻擊保持蛋糕的易用性
- 6. 如何用SpringMVC + Jackson應用程序防止XSS攻擊?
- 7. 如何避免rails中的BREACH攻擊?
- 8. 如何避免我的ASP.NET應用程序中的SQL注入攻擊?
- 9. 如何使用iXGuard保護iOS應用程序免受攻擊者攻擊
- 10. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
- 11. Ajax控件工具包編輯器控件 - 避免XSS攻擊
- 12. 消毒$ _GET參數,以避免XSS和其他攻擊
- 13. 如何使用防XSS攻擊
- 14. XSS攻擊防護
- 15. 防止XSS攻擊
- 16. 防止XSS攻擊
- 17. XSS攻擊防範
- 18. 跨站點腳本攻擊(xss)攻擊
- 19. 如何保護Angular 2 SPA免受XSS攻擊?
- 20. 如何使用內容安全策略保護單域Web應用程序免受XSS攻擊?
- 21. CakePHP的:防止XSS攻擊
- 22. XSS在wordpress中的攻擊?
- 23. URL中的XSS攻擊
- 24. 如何防止Grails的應用XSS攻擊
- 25. 此代碼如何防範XSS攻擊?
- 26. jinja2如何防止XSS攻擊?
- 27. PHP:如何完全防止XSS攻擊?
- 28. 避免拒絕服務攻擊
- 29. Grails/Tomcat:避免拒絕服務攻擊
- 30. 防止xss攻擊/注入
偉大的文章如何防止在不同情況下的XSS攻擊張貼在那裏:http://stackoverflow.com/questions/19824338/avoid-xss-and-allow-some-html-tags-with-javascript/19943011# 19943011 – user1459144 2013-11-13 00:55:49