Anti-XSS java库

时间:2010-08-30 19:53:15

标签: java xss

我正在寻找可以提供XSS attacks保护的java库。我正在编写服务器,并希望验证我的用户输入不包含恶意javascript。

您会推荐哪个图书馆?

5 个答案:

答案 0 :(得分:8)

您应该使用AntiSamy。 (That's what I did

答案 1 :(得分:2)

如何在不同情况下防止XSS攻击的精彩帖子发布在以下堆栈中:Avoid XSS and allow some html tags with JavaScript

答案 2 :(得分:2)

我已经成功使用了OWASP HTML清理项目。

https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project

可以定义策略(或可以使用预定义的策略),使您可以控制要验证/清理的字符串上允许的HTML元素类型。可以使用侦听器,因为HTML已经过清理,以确定哪些元素被拒绝,从而使您可以灵活地将其传达回客户端。除了简单的实现,我也喜欢这个库,因为它是由OWASP制作和维护的,OWASP是一个长期组织,其目标是网络安全。

答案 3 :(得分:1)

如果你想接受用户的HTML,那么AntiSamy或像jsoup这样的东西是有道理的。但是,如果您只想要一组好的转发器,则可以使用CSL

等库

我们在线有一个备忘单,展示了如何在许多HTML上下文中使用它(aka HTML constructs):

答案 4 :(得分:0)

我写了一篇关于如何使用OWASP库清理输入的博客文章,可能会有所帮助https://leantechblog.wordpress.com/2017/04/08/preventing-xss-sanitize-app-inputs/