Xss防御 jsonupUtil

  • • 发表于2020-08-07 17:47:00.0
  • • 作者 小徐同学
  • • 434 次浏览
  • • 0 条评论
  • • 最后编辑时间 2020-08-07 17:47:24.0
  • • 来自 [笔 记]

原创声明:本文为作者原创,未经允许不得转载,经授权转载需注明作者和出处


import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 * 描述: 过滤 HTML 标签中 XSS 代码
 */
public class JsoupUtil {

    private static final Whitelist whitelist = createContentWhitelist();
    /**
     * 配置过滤化参数, 不对代码进行格式化
     */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    private static Whitelist createContentWhitelist() {
        return Whitelist.relaxed()
                /**
                 * 必须要删除应用在 a 与 img 上的 protocols,否则就只有使用了这些 protocol 的才不被过滤,比较蛋疼
                 * 在 remove 的时候,后面的 protocols 要完全一个不露的对应上 jsoup 默认已经添加的,否则仍然会被过滤掉
                 * 在升级 jsoup 后需要测试这 a 与 img 的过滤是否正常
                 */
                .removeProtocols("a", "href", "ftp", "http", "https", "mailto")
                .removeProtocols("img", "src", "http", "https")
                // 官方默认会将 target 给过滤掉
                .addAttributes("a", "href", "title", "target")

                /**
                 * 在 Whitelist.relaxed() 之外添加额外的白名单规则
                 */
                .addTags("div", "span", "embed", "object", "param")
                .addAttributes(":all", "style", "class", "id", "name")
                .addAttributes("object", "width", "height", "classid", "codebase")
                .addAttributes("param", "name", "value")
                .addAttributes("embed", "src", "quality", "width", "height", "allowFullScreen", "allowScriptAccess", "flashvars", "name", "type", "pluginspage");
    }


    public static String clean(String content) {
        if (content == null) {
            return null;
        }
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }


}
评论区(共0条评论)
0条评论
Ctrl+Enter
作者

Michael

小徐同学

帖子:58 回复:0

全栈搬运工

作者详情》
Top