10
如何安全防范我们的Web应用程序受到XSS攻击?如果一个应用程序没有对特殊字符转换器进行任何转换,那么这个应用程序易受攻击。如何避免XSS攻击的应用程序?
A
回答
10
1
只需添加到WhiteFang34名单:
它有几个白名单内置可供选择,如允许一些HTML,没有HTML等
我选择了这个在,因为它是如何Apache的百科全书的StringEscapeUtils.escapeHtml()处理撇号。即如果我们的用户输入:
艾伦的妈妈有一个很好的布朗尼食谱。
JSoup将独自离开撇号,而Apache的百科全书将逃脱字符串:
艾伦\'妈妈有一个很好的布朗尼食谱。
在显示给用户之前,我不想担心无法消除。
2
HTML转义输入工作得很好。 但在某些情况下,业务规则可能会要求您不要转义HTML。 使用REGEX不适合该任务,使用它很难提出一个好的解决方案。
我发现最好的解决办法是使用: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer
它建立与所提供的输入DOM树和过滤器由白名单不previosly允许的任何元素。该API还有其他用于清理html的函数。
相关问题
- 1. 如何避免XSS攻击
- 2. 如何在PHP中避免SQL注入和XSS攻击?
- 3. 如何避免我的ASP.NET应用程序中的SQL注入攻击?
- 4. 如何使用iXGuard保护iOS应用程序免受攻击者攻击
- 5. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻击?
- 6. 消毒$ _GET参数,以避免XSS和其他攻击
- 7. XSS攻击防范
- 8. XSS攻击防护
- 9. 跨站点脚本攻击(xss)攻击
- 10. 如何保护Angular 2 SPA免受XSS攻击?
- 11. 如何使用内容安全策略保护单域Web应用程序免受XSS攻击?
- 12. URL中的XSS攻击
- 13. 如何防止Grails的应用XSS攻击
- 14. PHP:如何完全防止XSS攻击?
- 15. Grails/Tomcat:避免拒绝服务攻击
- 16. 避免拒绝服务攻击
- 17. XSS DOM易受攻击
- 18. 解密此XSS攻击
- 19. Json.Net Wrapper防止Xss攻击
- 20. AJAX XSS攻击和.Net MVC
- 21. angularjs防止XSS攻击
- 22. XSS攻击ASP.NET网站
- 23. 检测DOM XSS攻击
- 24. 防止WCF调用中的XSS攻击
- 25. XSS脚本攻击攻击 - >无法调用javascript
- 26. 保护移动应用程序免遭中间人攻击
- 27. 如何在解码html时避免XSS
- 28. 针对WPF应用程序的攻击
- 29. 如何阻止Android应用在其上绘制? (避免Cloack&Dagger攻击)
- 30. 如何应对攻击xmlrpc.php攻击
伟大的文章如何防止在不同情况下的XSS攻击张贴在那里:http://stackoverflow.com/questions/19824338/avoid-xss-and-allow-some-html-tags-with-javascript/19943011# 19943011 – user1459144 2013-11-13 00:55:49