我使用antisamy库来清理我的应用程序对XSS的输入。我有嵌套标签的问题,如:
<<b>script>alert('xss');<</b>/script>
我的清理方法如下:
public String clean(String input) {
if (input == null) {
return null;
}
input = StringEscapeUtils.unescapeHtml(input);
try {
Policy policy = Policy.getInstance(getClass().getResourceAsStream("/antisamy-textonly-policy.xml"));
AntiSamy antiSamy = new AntiSamy();
CleanResults cleanResults = antiSamy.scan(input, policy);
String cleaned = cleanResults.getCleanHTML();
return StringEscapeUtils.unescapeHtml(cleaned);
} catch (PolicyException e) {
....
} catch (ScanException e) {
....
}
}
我对这种输入的测试失败了:
public void doubleTagTest() {
def cleaned = xss.clean("<<b>script>alert('xss');<</b>/script>");
assert cleaned.isEmpty();
}
使用:
断言失败: 断言已清理.isEmpty() | | |假 警报( 'XSS');
at org.codehaus.groovy.runtime.InvokerHelper.assertFailed(InvokerHelper.java:386)
at org.codehaus.groovy.runtime.ScriptBytecodeAdapter.assertFailed(ScriptBytecodeAdapter.java:658)
你知道如何在没有xss.clean()的递归调用的情况下处理它吗?
答案 0 :(得分:1)
Antisamy正在产生正确的结果 - 删除了格式错误的标签,留下纯文本alert('xss');。
考虑以下
<b<i>>Hello World!</b</i>>
粗体和斜体标签在某种程度上变得混乱 - 反义词正确剥离了破坏的标签,使文本Hello World!正确无误。有一个纯文本看起来像原始测试中的javascript一样无关紧要 - 有害的<script>标记已被删除。