Jsoup 防止富文本 XSS 攻击

服务器处理富文本编辑器提交的内容时, 因排版的需求不能对 HTML 标签进行转义, 但为了防止 XSS 攻击, 又必须过滤掉其中的 JS 代码, 在 Java 中使用 Jsoup 正好可以满足此要求

  • 实现原理
    Jsoup 使用标签 ** 白名单 ** 的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中,** 只能存在 p 标签 **, 其他标签将会被清除只保留被标签所包裹的内容, 具体详情可查看参考资料

  • 参考资料
    Jsoup 学习之 Whitelist 类

  • 项目依赖

  • jsoup-1.9.2

    <dependency>
        <groupId>org.jsoup</groupId>
        <artifactId>jsoup</artifactId>
        <version>1.9.2</version>
    </dependency>
    
  • 代码示例

    • 创建进行测试的 HTML 代码
    String testHtml = "<div class='div'style='height: 100px;'>div 标签的内容 </div><p class='div'style='width: 50px;'>p 标签的内容 </p>";
    
    • 创建一个白名单对象
    Whitelist whitelist = new Whitelist();
    
    • 添加允许使用的标签, 此时只允许 p 标签存在
    whitelist.addTags("p");
    
    • 对测试代码进行过滤, 过滤规则就是创建的白名单
    String result1 = Jsoup.clean(testHtml, whitelist);
    System.out.println(result1);// 输出:   div 标签的内容 < p>p 标签的内容 </p>
    
    • 此时我们发现 div 标签已经被过滤掉了, 但是 p 标签中的属性也同时也被过滤掉了, 因为白名单只允许了 p 标签, 但是并未对属性加入白名单, 此时将 p 标签中的 class 属性加入白名单中, 再进行一次过滤
    whitelist.addAttributes("p","class");
    String result2 = Jsoup.clean(testHtml, whitelist);
    System.out.println(result2);// 输出:  div 标签的内容 < p class="div">p 标签的内容 </p>
    
    • 此时可见 class 属性已被允许存在, 另外 whitelist.addAttributes(String tag, String... keys) 中的 keys 是一个可变数组, 由此可知我们可以同时添加多个属性, 如 whitelist.addAttributes("p","class","style","title"), whitelist.addTags(String... tags) 方法同理
    • 此时假如我在白名单中添加了多个标签, 那么如何才能快速对所有标签添加共同属性
    whitelist.addAttributes(":all","style","title");
    
    • :all 表明给白名单中的所有标签添加 style,title 属性, 此时我们将 div,h1 标签放入白名单, 再进行测试
    whitelist.addTags("div","h1");
    testHtml = "<h1 onclick='alert(1);'class='' style=''title=''>h1 内容 </h1><div class=''>div 内容 </div><p class='' style=''>p 内容 </p>";
    String result3 = Jsoup.clean(testHtml, whitelist);
    System.out.println(result3);// 输出:  <h1 style="title="">h1 内容 </h1><div>div 内容 </div><p class=''style="">p 内容 </p>
    
    • 结果分析
      1. 在 h1 标签中 onclick,class 属性被过滤掉了 因为他们不属于 h1 标签的白名单属性
      2. 在 div 标签中 class 属性被过滤掉了 理由同上
      3. 标签中的属性都被保留, 因为 class 属性只添加 p 标签的白名单中 style 属性添加在所有标签的白名单中
  • 但是在实际使用中, 允许的标签往往很多, 这时 jsoup 默认给我们提供了 5 个白名单对象
白名单对象 标签 说明
none 只保留标签内文本内容
simpleText b,em,i,strong,u 简单的文本标签
basic a,b,blockquote,br,cite,code,dd,
dl,dt,em,i,li,ol,p,pre,q,small,span,
strike,strong,sub,sup,u,ul
基本使用的标签
basicWithImages basic 的基础上添加了 img 标签
及 img 标签的 src,align,alt,height,width,title 属性
基本使用的加上 img 标签
relaxed a,b,blockquote,br,caption,cite,
code,col,colgroup,dd,div,dl,dt,
em,h1,h2,h3,h4,h5,h6,i,img,li,
ol,p,pre,q,small,span,strike,strong,
sub,sup,table,tbody,td,tfoot,th,thead,tr,u,ul
在 basicWithImages 的基础上又增加了一部分部分标签

** 如果没有图片上传的需求, 使用 basic, 否则使用 basicWithImages**

  • 其他事项
    在刚才测试的时候, 会发现 Jsoup.clean() 方法返回的代码已经被进行格式化, 在标签及标签内容之间添加了 \n 回车符, 如果不需要的话, 可以使用 Jsoup.clean(testHtml, "", whitelist, new Document.OutputSettings().prettyPrint(false)); 进行过滤

  • ** 以下为我在实际项目中所使用的工具类 **

    import org.jsoup.Jsoup;
    import org.jsoup.nodes.Document;
    import org.jsoup.safety.Whitelist;
    /**
     * 描述: 过滤 HTML 标签中 XSS 代码
     */
    public class JsoupUtil {
        /** 
         * 使用自带的 basicWithImages 白名单
         * 允许的便签有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img  
         * 以及 a 标签的 href,img 标签的 src,align,alt,height,width,title 属性
         */
        private static final Whitelist whitelist = Whitelist.basicWithImages();
        /** 配置过滤化参数, 不对代码进行格式化 */
        private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
        static {
            // 富文本编辑时一些样式是使用 style 来进行实现的
            // 比如红色字体 style="color:red;"
            // 所以需要给所有标签添加 style 属性
            whitelist.addAttributes(":all", "style");
        }
        public static String clean(String content) {
            return Jsoup.clean(content, "", whitelist, outputSettings);
        }
    }
    
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,454评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,553评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,921评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,648评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,770评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,950评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,090评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,817评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,275评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,592评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,724评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,409评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,052评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,815评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,043评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,503评论 2 361
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,627评论 2 350

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,637评论 18 139
  • 这篇笔记主要包含 Vue 2 不同于 Vue 1 或者特有的内容,还有我对于 Vue 1.0 印象不深的内容。关于...
    云之外阅读 5,046评论 0 29
  • 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sh...
    思与学阅读 16,805评论 5 23
  • 选自《融化》 多少次跌倒, 无法再起来。 是你的扶持, 默默地支撑, 给了我生命的天。 因为有你, 我学着坚强。 ...
    彧瑛阅读 379评论 0 4
  • 一 最近老是写点儿有的没的,因为确实心情不太好。 嘛,总有回复过来的一天。 最近大一的孩子们都在军训,那今天来写一...
    独木Atree阅读 508评论 0 1