捕获XSS(跨站点脚本)攻击的最佳正则表达式(
时间:2022-12-19 01:30 来源:网络整理 作者:采集插件 点击:次
大佬教程收集整理的这篇文章主要介绍了捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。 如何解决捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?? 开发过程中遇到捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?的问题如何解决?下面主要结合日常开发的经验,给出你关于捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?的解决方法建议,希望对你解决捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?有所启发或帮助; 不要使用正则表达式执行此操作。请记住,您并不是仅仅针对有效的HTML进行保护;您可以防止Web浏览器创建的DOM。可以诱使浏览器很容易地从无效的HTML生成有效的DOM。 例如,请参阅此混淆的XSS攻击列表。您是否准备量身定制正则表达式以防止在ie6 / 7/8上对Yahoo和Hotmail进行这种现实世界的攻击? <HTML><BODY> <?xml:namespace prefix="t" ns="urn:scheR_530_11845@as-microsoft-com:time"> <?import namespace="t" implementation="#default#time2"> <t:set attributename="INNERHTML" to="XSS<SCRIPT DEFER>alert("XSS")</SCRIPT>"> </BODY></HTML>如何在ie6上进行这种攻击? <table BACKGROUND="JavaScript:alert('XSS')">该网站未列出的攻击如何?jeff的方法存在的问题是,它不是声称的白名单。正如该页面上的某人熟练地指出: 我建议使用像AntiSamy这样的专用工具。它实际上是通过解析HTML,然后遍历DOM并删除所有不在可配置白名单中的内容来工作的。主要区别在于可以正常处理格式错误的HTML。 最好的部分是,它实际上对上述站点上的所有XSS攻击进行了单元测试。此外,比此API调用更容易的是: public String toSafeHTML(String HTML) throws ScanException, PolicyException { Policy policy = Policy.geTinstance(POliCY_filE); AntiSamy antiSamy = new AntiSamy(); CleanResults cleanResults = antiSamy.scan(HTML, policy); return cleanResults.getCleanHTML().trim(); } 解决方法
jeff实际上在Sanitize HTML中发布了有关此内容的信息。但是他的示例在C#中,而实际上我对Java版本更感兴趣。有没有人有更好的Java版本?他的示例足以将直接从C#转换为Java吗? [更新]我悬赏这个问题,因为当我问这个问题时,SO不如今天(*)受欢迎。至于与安全相关的任何事物,研究它的人越多,它就越好! (*)实际上,我认为它仍处于封闭测试阶段 大佬总结以上是大佬教程为你收集整理的捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?全部内容,希望文章能够帮你解决捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?所遇到的程序开发问题。 如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。 本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。 (责任编辑:admin) |
- 上一篇:僵尸模拟器手机版中文版(暂未上线)v0.0.3 安卓免
- 下一篇:科学生活