0

有已知的 XSS 攻击,例如:

<DIV STYLE="color: red; width: expression(alert('XSS')); background-image: url('expression.png') ">

或者

<DIV STYLE="background-image: url(javascript:alert('XSS'));  border-image: url(images/javascript.png) 30 round round;">

或者

<META HTTP-EQUIV=Refresh CONTENT="1; URL=javascript:alert(/xxs/.source)">empty

我需要对 html 进行清理:

<DIV STYLE="color: red; background-image: url('expression.png') ">

或者

<DIV STYLE="border-image: url(images/javascript.png) 30 round round;">

或者

empty

是否有提供此类保护的 java 库?

4

1 回答 1

1

这是肯定的:https ://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

也许这个(更快): https ://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project

于 2013-06-19T22:02:44.523 回答