如何安全防範我們的Web應用程序受到XSS攻擊?如果一個應用程序沒有對特殊字符轉換器進行任何轉換,那麼這個應用程序易受攻擊。如何避免XSS攻擊的應用程序?
10
A
回答
10
1
只需添加到WhiteFang34名單:
它有幾個白名單內置可供選擇,如允許一些HTML,沒有HTML等
我選擇了這個在,因爲它是如何Apache的百科全書的StringEscapeUtils.escapeHtml()
處理撇號。即如果我們的用戶輸入:
艾倫的媽媽有一個很好的布朗尼食譜。
JSoup將獨自離開撇號,而Apache的百科全書將逃脫字符串:
艾倫\'媽媽有一個很好的布朗尼食譜。
在顯示給用戶之前,我不想擔心無法消除。
2
HTML轉義輸入工作得很好。 但在某些情況下,業務規則可能會要求您不要轉義HTML。 使用REGEX不適合該任務,使用它很難提出一個好的解決方案。
我發現最好的解決辦法是使用: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer
它建立與所提供的輸入DOM樹和過濾器由白名單不previosly允許的任何元素。該API還有其他用於清理html的函數。
相關問題
- 1. 如何避免XSS攻擊
- 2. 如何在PHP中避免SQL注入和XSS攻擊?
- 3. 如何避免我的ASP.NET應用程序中的SQL注入攻擊?
- 4. 如何使用iXGuard保護iOS應用程序免受攻擊者攻擊
- 5. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
- 6. 消毒$ _GET參數,以避免XSS和其他攻擊
- 7. XSS攻擊防範
- 8. XSS攻擊防護
- 9. 跨站點腳本攻擊(xss)攻擊
- 10. 如何保護Angular 2 SPA免受XSS攻擊?
- 11. 如何使用內容安全策略保護單域Web應用程序免受XSS攻擊?
- 12. URL中的XSS攻擊
- 13. 如何防止Grails的應用XSS攻擊
- 14. PHP:如何完全防止XSS攻擊?
- 15. Grails/Tomcat:避免拒絕服務攻擊
- 16. 避免拒絕服務攻擊
- 17. XSS DOM易受攻擊
- 18. 解密此XSS攻擊
- 19. Json.Net Wrapper防止Xss攻擊
- 20. AJAX XSS攻擊和.Net MVC
- 21. angularjs防止XSS攻擊
- 22. XSS攻擊ASP.NET網站
- 23. 檢測DOM XSS攻擊
- 24. 防止WCF調用中的XSS攻擊
- 25. XSS腳本攻擊攻擊 - >無法調用javascript
- 26. 保護移動應用程序免遭中間人攻擊
- 27. 如何在解碼html時避免XSS
- 28. 針對WPF應用程序的攻擊
- 29. 如何阻止Android應用在其上繪製? (避免Cloack&Dagger攻擊)
- 30. 如何應對攻擊xmlrpc.php攻擊
偉大的文章如何防止在不同情況下的XSS攻擊張貼在那裏:http://stackoverflow.com/questions/19824338/avoid-xss-and-allow-some-html-tags-with-javascript/19943011# 19943011 – user1459144 2013-11-13 00:55:49