xss过滤求助,帮忙贴段代码

小昭归来 发布于 2014/11/18 17:44
阅读 265
收藏 1
配置了filter之后,过滤规则咋写,网上各有各的,大家平时用的是啥子,帮忙给贴一个嘛(今天网站被那个啦,打开一开xssfilter没有写过滤规则,遗留的工程,没想到
加载中
1
主编
主编

云体检通用代码补丁

版本:v1.1 
更新时间:2013-05-25 
更新内容:优化性能 
功能说明 

可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。

http://bbs.aliyun.com/read/137391.html

leo108
leo108
这代码中的xss防护就是战五渣
0
景愿
景愿
private String strip(String value) {
        if (value != null) {
            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
            value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
            value = value.replaceAll("'", "&#39;").replaceAll("\"", "&#34;");
            value = value.replaceAll("eval\\((.*)\\)", "");
            value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
            value = value.replaceAll("script", "");
            return value;
        } else {
            return null;
        }
    }

不够的可以再补上


0
leo108
leo108

是不允许html还是允许安全的html,这两个规则差大了去

小昭归来
小昭归来
如果是允许安全的呢?有啥高见
0
调皮的XD
调皮的XD
给你推荐个工具jsoup,过滤html很强大,支持白名单
0
eechen
eechen
不允许HTML的话,PHP用nl2br和htmlspecialchars搞定。允许HTML情况就比较复杂了,PHP也提供了filter_input/filter_var等过滤函数,可能你还需要使用str_replace/preg_replace替换串中的特定内容,要现成的可以看看HTML Purifier for PHP,一个采用PHP编写的HTML过滤器,可以搭配WYSIWYG编辑器使用,过滤掉XSS恶意代码,但对性能会有所影响:
http://htmlpurifier.org/download
http://htmlpurifier.org/demo.php
0
OSC首席键客
OSC首席键客
有个开源库,ls说的那个htmlpurifiter,yii框架用的就是这个库过滤!
0
南湖船老大
南湖船老大
看楼主是Java,如果你用的是SpringMVC的话,SpringMVC中的SEL(EL的spring扩展)里面有过滤XSS的标签。
小昭归来
小昭归来
回复 @南湖船老大 : 能给点链接嘛
南湖船老大
南湖船老大
回复 @DemoDoc : 不是这个,spring有增强版,专门对付XSS的
DemoDoc
DemoDoc
jstl <c:out value />
返回顶部
顶部