Comment nettoyer le code HTML le code en Java pour empêcher les attaques XSS?

Je suis à la recherche pour la classe/util etc. pour nettoyer le code HTML le code c'est à dire supprimer dangereux des balises, des attributs et des valeurs d'éviter les attaques de type XSS et des attaques similaires.

- Je obtenir le code html à partir de l'éditeur de texte enrichi (par exemple TinyMCE), mais il peut être envoyer manière malveillante autour de, ommiting TinyMCE validation ("Données soumises par le formulaire off-site").

Est-il quelque chose aussi simple à utiliser que InputFilter en PHP? Solution parfaite, je peux imaginer fonctionne comme ça (à supposer désinfectant est encapsulé dans HtmlSanitizer classe):

String unsanitized = "...<...>...";           //some potentially 
                                              //dangerous html here on input

HtmlSanitizer sat = new HtmlSanitizer();      //sanitizer util class created

String sanitized = sat.sanitize(unsanitized); //voila - sanitized is safe...

Mise à jour - la solution la plus simple, le mieux! Petite util classe avec aussi peu de dépendances externes sur d'autres librairies/frameworks que possible - serait le mieux pour moi.

Comment à ce sujet?

  • Donc, ce que vous voulez est pour les clients d'être en mesure de soumettre des formulaires qui sont ensuite affichées dans la forme de fx. un livre d'or? Et vous voulez qu'ils soient en mesure d'utiliser le langage html, mais vous voulez toujours être en mesure de bloquer des utilisateurs malveillants de piratage-tente? Ou ai-je tout faux ici...?
  • Je veux que les clients (utilisateurs via leurs navigateurs) à soumettre texte enrichi de contenu (format html via l'éditeur de texte enrichi - TinyMCE), mais de vérifier et de supprimer tout élément potentiellement dangereux (dangereux) de contenu. Je ne sais pas qu'est-ce que fx et le livre d'or que vous mentionnez dans ce contexte.
  • Ah! Je vais donner un coup de feu, donnez-moi quelques minutes
InformationsquelleAutor WildWezyr | 2010-08-05
  1. 21

    Vous pouvez essayer OWASP HTML Java Désinfectant. Il est très simple à utiliser. 

    PolicyFactory policy = new HtmlPolicyBuilder()
    .allowElements("a")
    .allowUrlProtocols("https")
    .allowAttributes("href").onElements("a")
    .requireRelNofollowOnLinks()
    .build();

String safeHTML = policy.sanitize(untrustedHTML);
    InformationsquelleAutor Saljack
  2. 12


    Vous pouvez utiliser OWASP ESAPI pour Java, qui est une bibliothèque sur la sécurité qui est construite à faire de telles opérations.

    Pas seulement pour les codeurs HTML, il a aussi des codeurs pour exécuter le JavaScript, le CSS et le codage d'URL. Exemples d'utilisation de ESAPI peut être trouvé dans le XSS prévention de la triche publié par l'OWASP.

    Vous pouvez utiliser le OWASP AntiSamy projet pour définir une politique de site que les états de ce qui est autorisé dans le contenu soumis par l'utilisateur. La politique du site peuvent être utilisées par la suite pour obtenir des "nettoyer" le code HTML qui est affichée sur l'écran. Vous pouvez trouver un échantillon TinyMCE politique de fichier sur le AntiSamy page des téléchargements.

    • ce serait à reconstruire l'architecture de l'ensemble de mon projet. je ne suis pas prêt à le faire. j'ai besoin de quelque chose de simple, sans beaucoup de dépendances et pas besoin de changer la façon dont mon code est organisé (j'aime la façon dont elle est maintenant). donc - j'ai juste besoin d'un util de classe pour faire le travail. ma question est maintenant mis à jour pour clarifier cette exigence.
    • Je ne suis pas sûr de ce que tu veux dire par la reconstruction de l'architecture du projet. AntiSamy s'adapte parfaitement à votre exigence en permettant à l'éditeur de texte intrants pour être introduit dans un système de filtrage de la bibliothèque alimentée par une politique de site.
    • Hmmm. Semble que vous êtes de droite! Je pensais simplement qu'il est gros et lourd framework comme struts, spring, etc. et fonctionne comme une sorte de filtre de servlet ;-). Probablement grosses lettres dans le nom ("OWASP") m'a induit en erreur ici. BTW: quelles sont les dépendances exactes de l'OWASP AntiSamy - qu'est-ce que je dois l'utiliser?
    • Le AntiSamy POM pourrait vous donner un indice (le lien fourni plus tard est à partir de SVN, et ne doit pas être utilisé directement). Il n'a besoin d'un couple de d'autres bibliothèques, mais je ne suis pas sûr de savoir comment ils sont utilisé en interne par AntiSamy. Ref: code.google.com/p/owaspantisamy/source/browse/trunk/Java/...
    • Pour info, OWASP HTML Java Désinfectant vise à fournir une plus efficace, plus facilement configurable alternative à AntiSamy.
    • Avec un javax.servlet.Filtre cela a résolu le problème dans mon cas. Je n'ai pas eu à modifier le code existant.

    InformationsquelleAutor Vineet Reynolds
  3. 6

    HTML échapper entrées fonctionne très bien. Mais dans certains cas, les règles d'affaires peut vous demander de ne PAS échapper à l'HTML. En utilisant les REGEX n'est pas adapté à la tâche et il est trop difficile de trouver une bonne solution à l'aide.

    La meilleure solution que j'ai trouvé est d'utiliser: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

    Il construit une arborescence DOM avec la condition d'entrée et filtre tout élément non previosly autorisé par une liste Blanche. L'API a également d'autres fonctions pour le nettoyage du code html.

    Et il peut également être utilisé avec javax.validation @SafeHtml(whitelistType=, additionalTags=)

    InformationsquelleAutor eduardohl
  4. 4

    Grâce à @Saljack de réponse. Juste pour donner plus de détails à OWASP HTML Java Désinfectant. Il a travaillé vraiment bien (rapide) pour moi. Je viens d'ajouter les éléments suivants à la pom.xml dans mon projet Maven:

        <dependency>
        <groupId>com.googlecode.owasp-java-html-sanitizer</groupId>
        <artifactId>owasp-java-html-sanitizer</artifactId>
        <version>20150501.1</version>
    </dependency>

    Vérifier ici pour la dernière version.

    Puis j'ai ajouté cette fonction pour la désinfection:

        private String sanitizeHTML(String untrustedHTML){
        PolicyFactory policy = new HtmlPolicyBuilder()
            .allowAttributes("src").onElements("img")
            .allowAttributes("href").onElements("a")
            .allowStandardUrlProtocols()
            .allowElements(
            "a", "img"
            ).toFactory();

        return policy.sanitize(untrustedHTML); 
    }

    Plus de tags peuvent être ajoutés par l'extension de la délimité par des virgules paramètre dans allowElements méthode.

    Ajoutez cette ligne juste avant le passage de la fève off pour enregistrer les données:

        bean.setHtml(sanitizeHTML(bean.getHtml()));

    Que c'est!

    Pour une logique plus complexe, cette bibliothèque est très flexible et il peut gérer plus sophistiqué de désinfection de mise en œuvre.

    InformationsquelleAutor P. Lee
  5. 0

    Concernant Antisamy, vous voudrez peut-être vérifier ce qui concerne les dépendances:

    http://code.google.com/p/owaspantisamy/issues/detail?id=95&can=1&q=redyetidave

    InformationsquelleAutor RedYeti