四川定制网站建设,网站怎么搭建,一些免费的网站,wordpress忘记后台登录密码在开发网站的时候#xff0c;经常会提供用户评论的功能。有些不怀好意的用户#xff0c;会搞一些脚本到评论内容中#xff0c;而这些脚本可能会破坏整个页面的行为#xff0c;更严重的是获取一些机要信息#xff0c;此时需要清理该HTML#xff0c;以避免跨站脚本cross-si…在开发网站的时候经常会提供用户评论的功能。有些不怀好意的用户会搞一些脚本到评论内容中而这些脚本可能会破坏整个页面的行为更严重的是获取一些机要信息此时需要清理该HTML以避免跨站脚本cross-site scripting攻击XSS。
我们可以使用jsoup HTML Cleaner 方法进行清除但需要指定一个可配置的 Whitelist。
String unsafe pa hrefhttp://baidu.com/ οnclickstealCookies()Link/a/p;
String safe Jsoup.clean(unsafe, Whitelist.basic());
// now: pa hrefhttp://baidu.com/ relnofollowLink/a/p解说 XSS又叫CSS (Cross Site Script) 跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码当用户浏览该页之时嵌入其中Web里面的html代码会被执行从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击因为其被动且不好利用所以许多人常忽略其危害性。所以我们经常只让用户输入纯文本的内容但这样用户体验就比较差了。】
一个更好的解决方法就是使用一个富文本编辑器WYSIWYG如CKEditor 和 TinyMCE。这些可以输出HTML并能够让用户可视化编辑。虽然他们可以在客户端进行校验但是这样还不够安全需要在服务器端进行校验并清除有害的HTML代码这样才能确保输入到你网站的HTML是安全的。否则攻击者能够绕过客户端的Javascript验证并注入不安全的HMTL直接进入您的网站。
jsoup的whitelist清理器能够在服务器端对用户输入的HTML进行过滤只输出一些安全的标签和属性。
jsoup提供了一系列的Whitelist基本配置能够满足大多数要求但如有必要也可以进行修改不过要小心。
这个cleaner非常好用不仅可以避免XSS攻击还可以限制用户可以输入的标签范围。
