目次
質問
メソッド
説明
正規表現が使用できず、安全なホワイトリスト パーサー ベースのクリーナーが正しい選択である理由の例については、XSS チートシートを参照してください。
ホームページ ウェブフロントエンド htmlチュートリアル 【Jsoup学習エチケット】信頼できないHTMLを排除する(XSS攻撃を防ぐため)_html/css_WEB-ITnose

【Jsoup学習エチケット】信頼できないHTMLを排除する(XSS攻撃を防ぐため)_html/css_WEB-ITnose

Jun 24, 2016 am 11:48 AM

質問

ウェブサイトを構築する際、ユーザーのコメント機能が提供されることがよくあります。一部の悪意のあるユーザーはコメント コンテンツにスクリプトを挿入し、これらのスクリプトによってページ全体の動作が破壊されたり、さらに深刻な場合には機密情報が取得される可能性があります。現時点では、クロスサイト スクリプティングを回避するために HTML をクリーンアップする必要があります。 - サイト スクリプティング攻撃 (XSS)。

メソッド

クリーニングには jsoup HTML Cleaner メソッドを使用しますが、構成可能なホワイトリストを指定する必要があります。

String unsafe =   "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";String safe = Jsoup.clean(unsafe, Whitelist.basic());// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>
ログイン後にコピー

説明

XSS は CSS (Cross Site Script) とも呼ばれ、クロスサイト スクリプティング攻撃です。これは、悪意のある攻撃者が Web ページに悪意のある HTML コードを挿入し、ユーザーがそのページを閲覧すると、Web に埋め込まれた HTML コードが実行され、ユーザーを悪意のある攻撃するという特別な目的を達成することを指します。 XSS は受動的攻撃であり、悪用するのが難しいため、多くの人がその害を無視することがよくあります。そのため、ユーザーにプレーン テキスト コンテンツの入力のみを許可することがよくありますが、これではユーザー エクスペリエンスが低下します。

より良い解決策は、CKEditor や TinyMCE などの WYSIWYG リッチ テキスト エディターを使用することです。これらは HTML を出力し、ユーザーによる視覚的な編集を可能にします。クライアント側で検証することはできますが、これは十分に安全ではありません。Web サイトに入力された HTML が安全であることを確認するには、サーバー側で検証して有害な HTML コードを削除する必要があります。そうしないと、攻撃者がクライアント側の Javascript 検証をバイパスし、安全でない HMTL を Web サイトに直接挿入する可能性があります。

jsoup のホワイトリスト クリーナーは、サーバー側でユーザーによる HTML 入力をフィルタリングし、安全なタグと属性のみを出力します。

jsoup は、ほとんどの要件を満たすことができる一連の基本的なホワイトリスト構成を提供しますが、必要に応じて変更できますが、注意してください。

このクリーナーは非常に使いやすく、XSS 攻撃を回避できるだけでなく、ユーザーが入力できるタグの範囲を制限することもできます。

正規表現が使用できず、安全なホワイトリスト パーサー ベースのクリーナーが正しい選択である理由の例については、XSS チートシートを参照してください。

  • 文字列の代わりに Document オブジェクトを返す方法については、クリーナーを参照してください
  • カスタム ホワイトリストの作成方法については、ホワイトリストを参照してください
  • nofollow リンク属性を参照してください
  • このウェブサイトの声明
    この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

    ホットAIツール

    Undresser.AI Undress

    Undresser.AI Undress

    リアルなヌード写真を作成する AI 搭載アプリ

    AI Clothes Remover

    AI Clothes Remover

    写真から衣服を削除するオンライン AI ツール。

    Undress AI Tool

    Undress AI Tool

    脱衣画像を無料で

    Clothoff.io

    Clothoff.io

    AI衣類リムーバー

    Video Face Swap

    Video Face Swap

    完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

    ホットツール

    メモ帳++7.3.1

    メモ帳++7.3.1

    使いやすく無料のコードエディター

    SublimeText3 中国語版

    SublimeText3 中国語版

    中国語版、とても使いやすい

    ゼンドスタジオ 13.0.1

    ゼンドスタジオ 13.0.1

    強力な PHP 統合開発環境

    ドリームウィーバー CS6

    ドリームウィーバー CS6

    ビジュアル Web 開発ツール

    SublimeText3 Mac版

    SublimeText3 Mac版

    神レベルのコード編集ソフト(SublimeText3)

    HTMLは初心者のために簡単に学ぶことができますか? HTMLは初心者のために簡単に学ぶことができますか? Apr 07, 2025 am 12:11 AM

    HTMLは、簡単に学習しやすく、結果をすばやく見ることができるため、初心者に適しています。 1)HTMLの学習曲線はスムーズで簡単に開始できます。 2)基本タグをマスターして、Webページの作成を開始します。 3)柔軟性が高く、CSSおよびJavaScriptと組み合わせて使用​​できます。 4)豊富な学習リソースと最新のツールは、学習プロセスをサポートしています。

    HTML、CSS、およびJavaScriptの役割:コアの責任 HTML、CSS、およびJavaScriptの役割:コアの責任 Apr 08, 2025 pm 07:05 PM

    HTMLはWeb構造を定義し、CSSはスタイルとレイアウトを担当し、JavaScriptは動的な相互作用を提供します。 3人はWeb開発で職務を遂行し、共同でカラフルなWebサイトを構築します。

    HTML、CSS、およびJavaScriptの理解:初心者向けガイド HTML、CSS、およびJavaScriptの理解:初心者向けガイド Apr 12, 2025 am 12:02 AM

    webdevelopmentReliesOnhtml、css、andjavascript:1)htmlStructuresContent、2)cssStylesit、および3)Javascriptaddsinteractivity、形成、

    HTMLでの開始タグの例は何ですか? HTMLでの開始タグの例は何ですか? Apr 06, 2025 am 12:04 AM

    Anexampleapalofastartingtaginhtmlis、それはaperginsaparagraph.startingtagsaresentionentientiontheyinitiateelements、definetheirtypes、およびarecrucialforurturingwebpagesandcontingthomedomを構築します。

    Giteeページ静的なWebサイトの展開に失敗しました:単一のファイル404エラーをトラブルシューティングと解決する方法 Giteeページ静的なWebサイトの展開に失敗しました:単一のファイル404エラーをトラブルシューティングと解決する方法 Apr 04, 2025 pm 11:54 PM

    GiteEpages静的Webサイトの展開が失敗しました:404エラーのトラブルシューティングと解像度Giteeを使用する

    WebアノテーションにY軸位置の適応レイアウトを実装する方法は? WebアノテーションにY軸位置の適応レイアウトを実装する方法は? Apr 04, 2025 pm 11:30 PM

    Y軸位置Webアノテーション機能の適応アルゴリズムこの記事では、単語文書と同様の注釈関数、特に注釈間の間隔を扱う方法を実装する方法を探ります...

    HTML、CSS、およびJavaScript:Web開発者に不可欠なツール HTML、CSS、およびJavaScript:Web開発者に不可欠なツール Apr 09, 2025 am 12:12 AM

    HTML、CSS、およびJavaScriptは、Web開発の3つの柱です。 1。HTMLは、Webページ構造を定義し、などなどのタグを使用します。2。CSSは、色、フォントサイズなどのセレクターと属性を使用してWebページスタイルを制御します。

    CSS3とJavaScriptを使用して、クリック後に周囲の写真を散乱および拡大する効果を実現する方法は? CSS3とJavaScriptを使用して、クリック後に周囲の写真を散乱および拡大する効果を実現する方法は? Apr 05, 2025 am 06:15 AM

    画像をクリックした後、散乱と周囲の画像を拡大する効果を実現するには、多くのWebデザインがインタラクティブな効果を実現する必要があります。特定の画像をクリックして周囲を作成してください...

    See all articles