问题描述
我正在使用Java中的JSoup库清理输入,以防止XSS攻击。它适用于警报('vulnerable')之类的简单输入。
示例:
String data = "<script>alert('vulnerable')</script>";
data = Jsoup.clean(data,Whitelist.none());
data = StringEscapeUtils.unescapeHtml4(data); //StringEscapeUtils from apache-commons lib
System.out.println(data);
输出:""
但是,如果我将输入调整为以下内容,则JSoup无法清理输入。
String data = "<<b>script>alert('vulnerable');<</b>/script>";
data = Jsoup.clean(data,Whitelist.none());
data = StringEscapeUtils.unescapeHtml4(data);
System.out.println(data);
输出:<script>alert('vulnerable');</script>
此输出显然仍然容易受到XSS攻击。有没有一种方法可以完全清除输入,以便从输入中删除所有HTML标记?
解决方法
不确定这是否是最好的解决方案,但是临时的解决方法是将原始文本解析为%ERRORLEVEL%
,然后清除Doc
元素及其所有子元素的组合文本:>
Doc
等待其他人提出最佳解决方案。