Sanitize тег HTML стиль в Java, чтобы предотвратить инъекции яваскрипта от WYSIWYG

Там известны XSS атаки, такие как:Sanitize тег HTML стиль в Java, чтобы предотвратить инъекции яваскрипта от WYSIWYG

<DIV STYLE="color: red; width: expression(alert('XSS')); background-image: url('expression.png') ">

Или

<DIV STYLE="background-image: url(javascript:alert('XSS')); border-image: url(images/javascript.png) 30 round round;">

Или

<META HTTP-EQUIV=Refresh CONTENT="1; URL=javascript:alert(/xxs/.source)">empty

И мне нужно дезинфицировать html к этому:

<DIV STYLE="color: red; background-image: url('expression.png') ">

Или

<DIV STYLE="border-image: url(images/javascript.png) 30 round round;">

Или

empty

Есть ли библиотека Java, которые обеспечивают такую защиту?

источник

2013-06-19 msangel

Это один точно: https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

и, возможно, это один (быстрее): https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project

источник

2013-06-19 22:02:44 Erlend

Я попытался AntiSamy и это почти работа, однако я получаю одно очень странное поведение библиотеки. Я создал вопрос, но ответа пока нет: http://stackoverflow.com/questions/19343035 I thnk, вы можете знать ответ, поэтому просим вас directy = D – msangel

Sanitize тег HTML стиль в Java, чтобы предотвратить инъекции яваскрипта от WYSIWYG

ответ

Смежные вопросы