`
coosummer
  • 浏览: 15160 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
社区版块
存档分类
最新评论

使用Sanitize防止XSS攻击

阅读更多
在网站中展示用户输入的信息时,hacker可以在里面放入一些脚本,执行的时候可以窃取cookie或打乱页面展现,ruby on rails中可以使用h()辅助方法将展示内容中的html标签或javascript标签过滤掉,但是对于需要展示富文本形式的网站,这种方式过于严厉,这种情况下可以使用Sanitize插件,Sanitize插件可以设置允许出现的html标签的白名单,白名单之外的标签都会被过滤,这样既保证了安全性,又可以选择性的展示富文本效果
使用方式:
1.安装:gem install sanitize
2.使用方法:参考:http://rgrove.github.com/sanitize/
1)Sanitize.clean(html) :会将html中所有的html标签过滤掉
2)Sanitize.clenn(html,param)
    param 可以是Sanitize::Config::BASIC 、Sanitize::Config::RELAXED、Sanitize::Config::RESTRICTED中的一种,分别代表基本、宽松和严格的过滤
3)使用自定义的过滤:Sanitize.clean(html,{ :elements => [ 'a', 'b', 'blockquote', 'br', 'cite', 'code', 'dd', 'dl', 'dt', 'em', 'i', 'li', 'ol', 'p', 'pre', 'q', 'small', 'strike', 'strong', 'sub', 'sup', 'u', 'ul'], :attributes => { 'a' => ['href'], 'blockquote' => ['cite'], 'q' => ['cite']}}
分享到:
评论

相关推荐

    使用AngularJS中的SCE来防止XSS攻击的方法

    总的来说,AngularJS通过SCE提供了一套强大的机制来防御XSS攻击,但开发者仍需谨慎处理用户输入,并理解何时使用 `$sce` 和 `$sanitize` 服务。确保正确使用这些工具,可以有效地增强应用程序的安全性,防止恶意代码...

    javascript过滤XSS

    JavaScript过滤XSS(Cross Site Scripting)是一种防御性编程技术,用于防止恶意用户通过注入脚本到网页中,对其他用户进行攻击。...正确使用和配置这个库,可以在不牺牲用户体验的情况下,有效地防止XSS攻击。

    Laravel开发-xss-protection

    Laravel内置了Blade模板引擎,它提供了一种防止XSS攻击的方式。Blade模板中的`{{ }}`语法会自动对输出内容进行HTML编码,防止恶意脚本执行。但是,对于需要保持原始HTML的场景,可以使用`{!! !!}`语法,但需谨慎,...

    Laravel开发-laravel-xss-filter

    始终记住,防止XSS攻击的最佳实践是结合使用多种方法,而不是依赖单一的解决方案。通过对用户输入进行严格的验证、转义和过滤,可以大大降低XSS攻击的风险。在“laravel-xss-filter-master”项目中,开发者可能已经...

    前端开源库-sanitize

    `sanitize`是前端开发中保障安全的重要工具,尤其在Node.js环境中,它可以有效地防止XSS攻击。通过定义自定义规则,开发者能够精确控制用户输入的数据,确保其在被渲染到页面上时不会带来安全风险。正确使用`...

    angular-ngSanitize模块-$sanitize服务详解

    **AngularJS中的`ngSanitize`模块与`$sanitize`服务...在处理不可信的HTML数据时,务必使用`$sanitize`服务进行过滤,以防止XSS攻击。同时,通过了解其源码和配置,我们可以更好地定制安全策略,以适应不同的应用场景。

    bluemonday:bluemonday:一种快速的golang HTML清理程序(受OWASP Java HTML Sanitizer的启发)来清理用户生成的XSS内容

    如果您接受用户生成的内容,并且服务器使用Go,则需要bluemonday。 用户生成的内容的默认策略( bluemonday.UGCPolicy().Sanitize() )变为: Hello < STYLE > . XSS { background-image : url ( "[removed...

    基于PHP的修补跨站脚本攻击漏洞php版源码.zip

    以上是针对PHP防止和修复XSS攻击的一些核心方法。在提供的源码中,132707310029898715可能包含了具体的实现细节,例如预处理函数的使用、CSP设置或者其他防御策略。具体代码分析需要查看源文件以获取更详细的信息。...

    Go-bluemonday:一个快速的HTML有害内容清除Golang库

    Go-bluemonday是一个在Golang中用于处理和...总之,Go-bluemonday是Golang开发中一个强大且高效的工具,用于防止XSS攻击,保护用户和应用程序的安全。通过合理的配置和使用,开发者可以构建出更健壮、更安全的Web应用。

    Laravel开发-xssinput .zip

    总结,"Laravel开发-xssinput .zip"可能包含的内容涵盖了Laravel框架下防止XSS攻击的各种策略和技术,包括输入验证、数据转义、ORM安全操作、CSRF保护等,对于Laravel开发者来说是提升应用安全性的重要参考资料。

    很早以前写的第一个项目。基于Nodejs,MongoDB的博客系统。代码很烂,仅有一点点的参考价值。存在XSS漏洞.zip

    在Node.js中,可以使用像helmet这样的中间件来增强应用的安全性,防止XSS攻击。对于MongoDB,可以通过使用Mongoose等库的验证功能来限制和清理用户输入,同时,还可以利用其内置的`$_SANITIZE`操作符或在查询和渲染...

    marked一个用JavaScript写的功能齐全的Markdown解析器和编译器

    4. **安全模式**:`marked`提供了一个`sanitize`选项,可以防止XSS(跨站脚本)攻击,确保Markdown内容被安全地转化为HTML。 5. **易于使用**:`marked`的API设计简洁,只需几行代码就可以将Markdown字符串转换为...

    xss

    防止XSS攻击的方法主要包括: 1. **输入验证**:对用户提交的数据进行严格的检查和清理,避免特殊字符和可能的脚本代码。 2. **输出编码**:在将用户数据插入HTML时,应对其进行适当的编码,如使用`...

    AntiXssLibrary_HtmlSanitizationLibrary.rar

    AntiXssLibrary是微软开发的一个安全库,专门用于防止XSS攻击。它提供了一组API,可以对用户输入进行编码,确保这些输入不会在网页上被执行为脚本。这个库的核心功能包括: 1. **HTML编码**:对HTML元素、属性和...

    sanitize:Crystal库,用于转换HTMLXML树以清理来自不受信任来源HTML

    总的来说,`sanitize`是Crystal开发者处理HTML和XML安全问题的重要工具,它的强大功能和易用性使得在防止XSS攻击方面变得更加简单。通过深入理解这个库的工作原理和使用方法,开发者可以更好地保护自己的应用程序,...

    antisamy的jar包

    它使用了一种称为“白名单”的策略,只允许符合预设规则的HTML元素和属性通过,任何不在规则内的都将被删除或转义,从而有效阻止XSS攻击。 antisamy的使用方法包括以下几个步骤: 1. **引入依赖**:在Java项目中,...

    ASP.NET源码——通用防SQL注入漏洞程序(Global.asax方式).zip

    7. **安全编码实践**:遵循OWASP(开放网络应用安全项目)的安全编码标准,例如使用ASP.NET MVC的Model Binders和Validation特性,以及使用SafeHTML或Sanitize输入过滤库来防止跨站脚本(XSS)攻击。 8. **持续更新和...

    Laravel开发-laravel-request-sanitizer

    例如,可以设定规则移除所有HTML标签,防止XSS攻击。 2. **数据验证**:除了Laravel内置的验证系统,`laravel-request-sanitizer`还提供了额外的层来验证输入数据。开发者可以设置自定义验证规则,确保数据符合业务...

Global site tag (gtag.js) - Google Analytics