Java 如何避免应用受到XSS攻击?
如何保护我们的web应用程序免受XSS攻击?如果一个应用程序没有对一个特殊字符进行任何转换,那么它就可以攻击。在将输入输出回用户之前,您应该对任何输入进行HTML转义。一些参考资料:Java 如何避免应用受到XSS攻击?,java,jakarta-ee,Java,Jakarta Ee,如何保护我们的web应用程序免受XSS攻击?如果一个应用程序没有对一个特殊字符进行任何转换,那么它就可以攻击。在将输入输出回用户之前,您应该对任何输入进行HTML转义。一些参考资料: 考虑从 或从中使用 只需添加到WhiteFang34'列表中: 它有几个内置的白名单可供选择,例如允许使用一些HTML、不使用HTML等 我之所以选择它,是因为它处理撇号的方式。即,如果我们的用户输入: 艾伦的妈妈有一个很好的布朗尼食谱 JSoup将不使用撇号,而apachecommons将以如下方式
- 考虑从
- 或从中使用
在向用户显示之前,我不想担心是否会跳过它。HTML转义输入效果很好。 但在某些情况下,业务规则可能要求您不要逃避HTML。 使用正则表达式不适合这项任务,使用它很难找到一个好的解决方案 我找到的最佳解决方案是使用:
它使用提供的输入构建DOM树,并过滤白名单先前不允许的任何元素。该API还具有清理html的其他功能。关于如何在不同情况下防止XSS攻击的精彩文章发布在这里: