使用java的HTML解析器 jsoup来防止XSS攻击
59 / 1 / 创建于 3年前
lizhiqiang666 的个人博客
1,基本概念
jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。
2,使用jsoup能够做什么
1> 从URL,文字或者字符串中解析HTML;
2>查找和提取数据,使用DOM遍历或者CSS选择器;
3>操纵html元素,属性和文本;
4>使用白名单,过滤用户提交的内容,防止XSS攻击;
5>输出整洁的html。
3,jsoup中重要的类:Whitelist类,继承Object类,默认的配置方法有如下:
none():只保留文本,其他所有的html内容均被删除
simpleText():只允许: b, em, i, strong, u.
basic():允许的标签包括: a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul
basicWithImages():在basic的基础上增加了图片的标签:img以及使用src指向http或https类型的图片链接。
relaxed():允许的标签: a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul。
4,在项目中,如何使用jsoup中的whitelist防止XSS攻击
第一步:maven项目,pom.xml文件中引入
<!--Jsoup-->
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.2</version>
</dependency>
第二步:使用过滤器的方法对需要的请求路径做过滤
(1)XSSFilterUtil实现HttpServletRequestWrapper,
import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* @author zhangna
* @version Id: XSSFilterUtil.java, v 0.1 2018/4/4 下午2:28 zhangna Exp $$
*/
public class XSSFilterUtil extends HttpServletRequestWrapper {
public XSSFilterUtil(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
return Jsoup.clean(name, Whitelist.none());
}
@Override
public String[] getParameterValues(String name) {
String requestURI = getRequestURI();
if (StringUtils.equals(requestURI,"/**请求路径**") && StringUtils.equals(name,"**请求的参数**")) {
String[] values = super.getParameterValues(name);
if (values != null) {
int length = values.length;
String[] escapseValues = new String[length];
for (int i = 0; i < length; i++) {
escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed());
}
return escapseValues;
}
} else {
String[] values = super.getParameterValues(name);
if (values != null) {
int length = values.length;
String[] escapseValues = new String[length];
for (int i = 0; i < length; i++) {
escapseValues[i] = Jsoup.clean(values[i],"", Whitelist.none(),new Document.OutputSettings().prettyPrint(false));
}
return escapseValues;
}
}
return super.getParameterValues(name);
}
}
注意:利用过滤器实现jsoup对请求的过滤时,默认时是过滤所有的请求,但是如果想要做部分过滤的话,应该使用 getRequestURI()的方法获取当前请求的路径,然后根据需要对路径进行过滤,进一步,还可以精确到过滤请求路径的某个请求参数上面。
(2)XSSFilter实现Filter接口
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
/**
* @author zhangna
* @version Id: XSSFilter.java, v 0.1 2018/4/4 下午2:24 zhangna Exp $$
*/
public class XSSFilter implements Filter{
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
filterChain.doFilter(new XSSFilterUtil((HttpServletRequest) servletRequest), servletResponse);
}
@Override
public void destroy() {
}
}
(3)在web.xml中配置自己写的过滤器让其生效
<!--自定义过滤器-->
<filter>
<filter-name>XSSFilter</filter-name>
<filter-class>com.zhangna.ssm.mng.common.filter.XSSFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSSFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping>
使用jsoup实现防止XSS攻击就到此完毕。
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于 LearnKu
粤公网安备 44030502004330号
推荐文章: