如何通过Jsoup在Spring Boot 2.x中有效防止XSS攻击?
- 内容介绍
- 文章标签
- 相关推荐
本文共计723个文字,预计阅读时间需要3分钟。
后端应用通常接收各种信息参数,例如评论、回复等文本内容。除了特定场景下,可以接受富文本标签和属性(如b、ul、li、h1、h2、h3等)外,需要过滤掉危险的字符和标签,防止xs攻击。
后端应用经常接收各种信息参数,例如评论,回复等文本内容。除了一些场景下面,可以特定接受的富文本标签和属性之外(如:b,ul,li,h1, h2, h3...),需要过滤掉危险的字符和标签,防止xss攻击。
一、什么是XSS?
看完这个,应该有一个大致的概念。
XSS攻击常识及常见的XSS攻击脚本汇总
XSS过滤速查表
二、准则
- 永远不要相信用户的输入和请求的参数(包括文字、上传等一切内容)
- 参考第1条
三、实现做法
结合具体业务场景,对相应内容进行过滤,这里使用Jsoup。
jsoup是一款Java的HTML解析器。Jsoup提供的Whitelist(白名单)对文本内容进行过滤,过滤掉字符、属性,但是又保留必要的富文本格式。
本文共计723个文字,预计阅读时间需要3分钟。
后端应用通常接收各种信息参数,例如评论、回复等文本内容。除了特定场景下,可以接受富文本标签和属性(如b、ul、li、h1、h2、h3等)外,需要过滤掉危险的字符和标签,防止xs攻击。
后端应用经常接收各种信息参数,例如评论,回复等文本内容。除了一些场景下面,可以特定接受的富文本标签和属性之外(如:b,ul,li,h1, h2, h3...),需要过滤掉危险的字符和标签,防止xss攻击。
一、什么是XSS?
看完这个,应该有一个大致的概念。
XSS攻击常识及常见的XSS攻击脚本汇总
XSS过滤速查表
二、准则
- 永远不要相信用户的输入和请求的参数(包括文字、上传等一切内容)
- 参考第1条
三、实现做法
结合具体业务场景,对相应内容进行过滤,这里使用Jsoup。
jsoup是一款Java的HTML解析器。Jsoup提供的Whitelist(白名单)对文本内容进行过滤,过滤掉字符、属性,但是又保留必要的富文本格式。