我正在寻找可以提供XSS attacks保护的java库。我正在编写服务器,并希望验证我的用户输入不包含恶意javascript。
您会推荐哪个图书馆?
答案 0 :(得分:8)
您应该使用AntiSamy。 (That's what I did)
答案 1 :(得分:2)
如何在不同情况下防止XSS攻击的精彩帖子发布在以下堆栈中:Avoid XSS and allow some html tags with JavaScript
答案 2 :(得分:2)
我已经成功使用了OWASP HTML清理项目。
https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project
可以定义策略(或可以使用预定义的策略),使您可以控制要验证/清理的字符串上允许的HTML元素类型。可以使用侦听器,因为HTML已经过清理,以确定哪些元素被拒绝,从而使您可以灵活地将其传达回客户端。除了简单的实现,我也喜欢这个库,因为它是由OWASP制作和维护的,OWASP是一个长期组织,其目标是网络安全。
答案 3 :(得分:1)
如果你想接受用户的HTML,那么AntiSamy或像jsoup这样的东西是有道理的。但是,如果您只想要一组好的转发器,则可以使用CSL
等库我们在线有一个备忘单,展示了如何在许多HTML上下文中使用它(aka HTML constructs):
答案 4 :(得分:0)
我写了一篇关于如何使用OWASP库清理输入的博客文章,可能会有所帮助https://leantechblog.wordpress.com/2017/04/08/preventing-xss-sanitize-app-inputs/