【Jsoup学習エチケット】信頼できないHTMLを排除する(XSS攻撃を防ぐため)_html/css_WEB-ITnose
質問
ウェブサイトを構築する際、ユーザーのコメント機能が提供されることがよくあります。一部の悪意のあるユーザーはコメント コンテンツにスクリプトを挿入し、これらのスクリプトによってページ全体の動作が破壊されたり、さらに深刻な場合には機密情報が取得される可能性があります。現時点では、クロスサイト スクリプティングを回避するために HTML をクリーンアップする必要があります。 - サイト スクリプティング攻撃 (XSS)。
メソッド
クリーニングには jsoup HTML Cleaner メソッドを使用しますが、構成可能なホワイトリストを指定する必要があります。
String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";String safe = Jsoup.clean(unsafe, Whitelist.basic());// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>
説明
XSS は CSS (Cross Site Script) とも呼ばれ、クロスサイト スクリプティング攻撃です。これは、悪意のある攻撃者が Web ページに悪意のある HTML コードを挿入し、ユーザーがそのページを閲覧すると、Web に埋め込まれた HTML コードが実行され、ユーザーを悪意のある攻撃するという特別な目的を達成することを指します。 XSS は受動的攻撃であり、悪用するのが難しいため、多くの人がその害を無視することがよくあります。そのため、ユーザーにプレーン テキスト コンテンツの入力のみを許可することがよくありますが、これではユーザー エクスペリエンスが低下します。
より良い解決策は、CKEditor や TinyMCE などの WYSIWYG リッチ テキスト エディターを使用することです。これらは HTML を出力し、ユーザーによる視覚的な編集を可能にします。クライアント側で検証することはできますが、これは十分に安全ではありません。Web サイトに入力された HTML が安全であることを確認するには、サーバー側で検証して有害な HTML コードを削除する必要があります。そうしないと、攻撃者がクライアント側の Javascript 検証をバイパスし、安全でない HMTL を Web サイトに直接挿入する可能性があります。
jsoup のホワイトリスト クリーナーは、サーバー側でユーザーによる HTML 入力をフィルタリングし、安全なタグと属性のみを出力します。
jsoup は、ほとんどの要件を満たすことができる一連の基本的なホワイトリスト構成を提供しますが、必要に応じて変更できますが、注意してください。
このクリーナーは非常に使いやすく、XSS 攻撃を回避できるだけでなく、ユーザーが入力できるタグの範囲を制限することもできます。
正規表現が使用できず、安全なホワイトリスト パーサー ベースのクリーナーが正しい選択である理由の例については、XSS チートシートを参照してください。

ホットAIツール

Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。

Undress AI Tool
脱衣画像を無料で

Clothoff.io
AI衣類リムーバー

AI Hentai Generator
AIヘンタイを無料で生成します。

人気の記事

ホットツール

メモ帳++7.3.1
使いやすく無料のコードエディター

SublimeText3 中国語版
中国語版、とても使いやすい

ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境

ドリームウィーバー CS6
ビジュアル Web 開発ツール

SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)

ホットトピック











公式アカウントのWebページはキャッシュを更新します。これはシンプルでシンプルで、ポットを飲むのに十分な複雑です。あなたは公式のアカウントの記事を更新するために一生懸命働きましたが、ユーザーはまだ古いバージョンを開くことができますか?この記事では、この背後にあるtwist余曲折と、この問題を優雅に解決する方法を見てみましょう。それを読んだ後、さまざまなキャッシュの問題に簡単に対処でき、ユーザーが常に新鮮なコンテンツを体験できるようになります。最初に基本について話しましょう。それを率直に言うと、アクセス速度を向上させるために、ブラウザまたはサーバーはいくつかの静的リソース(写真、CSS、JSなど)やページコンテンツを保存します。次回アクセスするときは、もう一度ダウンロードすることなく、キャッシュから直接検索できます。自然に高速です。しかし、このことは両刃の剣でもあります。新しいバージョンはオンラインです、

この記事では、ブラウザのユーザー入力を直接検証するために、必要、パターン、MIN、MAX、および長さの制限などのHTML5フォーム検証属性を使用して説明します。

記事では、HTML5クロスブラウザーの互換性を確保するためのベストプラクティスについて説明し、機能検出、プログレッシブエンハンスメント、およびテスト方法に焦点を当てています。

この記事では、CSSを使用したWebページへの効率的なPNG境界追加を示しています。 CSSはJavaScriptやライブラリと比較して優れたパフォーマンスを提供し、微妙または顕著な効果のために境界幅、スタイル、色を調整する方法を詳述していると主張しています

この記事では、HTML&lt; Datalist&GT;について説明します。オートコンプリートの提案を提供し、ユーザーエクスペリエンスの改善、エラーの削減によりフォームを強化する要素。

この記事では、HTML&lt; Progress&gt;について説明します。要素、その目的、スタイリング、および&lt; meter&gt;との違い要素。主な焦点は、&lt; Progress&gt;を使用することです。タスクの完了と&lt; Meter&gt; statiの場合

この記事では、html5&lt; time&gt;について説明します。セマンティックデート/時刻表現の要素。 人間の読み取り可能なテキストとともに、マシンの読みやすさ(ISO 8601形式)のDateTime属性の重要性を強調し、Accessibilitを増やします

この記事では、html&lt; meter&gt;について説明します。要素は、範囲内でスカラーまたは分数値を表示するために使用され、Web開発におけるその一般的なアプリケーション。それは差別化&lt; Meter&gt; &lt; Progress&gt;およびex
