清理java中的HTML样式标记以防止从WYSIWYG注入javascript

时间:2013-06-19 13:12:53

标签: java security xss wysiwyg

有许多已知的XSS攻击:

<DIV STYLE="color: red; width: expression(alert('XSS')); background-image: url('expression.png') ">

或者

<DIV STYLE="background-image: url(javascript:alert('XSS'));  border-image: url(images/javascript.png) 30 round round;">

或者

<META HTTP-EQUIV=Refresh CONTENT="1; URL=javascript:alert(/xxs/.source)">empty

我需要对此进行清理:

<DIV STYLE="color: red; background-image: url('expression.png') ">

或者

<DIV STYLE="border-image: url(images/javascript.png) 30 round round;">

或者

empty

是否有提供此类保护的java库?

1 个答案:

答案 0 :(得分:1)

这肯定是:https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

也许这个(更快): https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project

相关问题
最新问题