Sto cercando una libreria java in grado di fornire protezione contro XSS attacks. Sto scrivendo un server, e vorrei convalidare l'input del mio utente non contiene javascript dannoso.Librerie java Anti-XSS
Quale libreria consiglieresti?
È necessario utilizzare AntiSamy. (That's what I did)
Penso che AntiSamy non fornisce la funzionalità di rilevamento se viene eseguito un XSS. Puoi suggerire una biblioteca che potrebbe aiutare a scoprire lo stesso? – Siddharth
XSS non può essere rilevato fino a quando non viene eseguito correttamente in un contesto del browser. Tuttavia, antisamy genera un elenco di errori in modo da poter vedere i motivi per cui un particolare DOM è stato rifiutato. A questo punto, tuttavia, l'antisamide non è stata toccata dal 2013, quindi probabilmente non dovrebbe essere comunque utilizzata. – avgvstvs
Se si desidera accettare HTML dagli utenti, quindi AntiSamy o qualcosa come jsoup ha senso. Tuttavia, se si desidera solo un buon set di fuggitivi, è possibile utilizzare una libreria come CSL
Abbiamo un foglio on-line trucco che mostra come usarlo in molti contesti HTML (aka HTML constructs):
Non utilizzare Jsoup per scopi di convalida della sicurezza. Il design di Jsoup è quello di "correggere" l'HTML non valido e molti attacchi XSS sono deliberatamente non validi ... quindi Jsoup lo "ripara" e la tua convalida probabilmente lo segnala come buono. – avgvstvs
Il grande post come prevenire gli attacchi XSS in diverse situazioni è pubblicato nello stack seguente: Avoid XSS and allow some html tags with JavaScript
Non mi piacerebbe usare javascript per fare ciò: la maggior parte degli attacchi in questi giorni sono basati su DOM e javascript ha una tecnica chiamata monkeypatching che può consentire a un utente malintenzionato di assumere il controllo di qualsiasi funzione lato client. – avgvstvs
@avgvstvs se l'autore dell'attacco ha già avuto accesso alla possibilità di eseguire patch di scimmia, quindi in pratica può semplicemente fare qualsiasi cosa che sarebbe in grado di fare attraverso XSS. –
@MatthijsWessels il mio punto è che come sviluppatore web, il front-end è semplicemente il * luogo sbagliato * per implementare * qualsiasi * tipo di prevenzione XSS, perché il server ha il controllo zero su ciò che accade nel browser. Il browser non è affidabile, sempre. – avgvstvs
Ho utilizzato il progetto di sanitizzazione HTML OWASP con molto successo.
https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project
I criteri possono essere definiti (o criteri predefiniti possono essere utilizzati), che consentono di controllare quali tipi di elementi HTML sono ammessi sulla stringa in fase di convalida/sterilizzate. Un listener può essere utilizzato in quanto l'HTML viene disinfettato per determinare quali elementi vengono rifiutati, offrendo flessibilità su come comunicarlo al client. Oltre ad un'implementazione semplice, mi piace anche questa libreria perché è prodotta e gestita da OWASP, un'organizzazione di lunga data il cui obiettivo è la sicurezza web.
ho scritto un post sul blog su come disinfettare gli ingressi utilizzando la libreria OWASP, può essere può essere utile https://leantechblog.wordpress.com/2017/04/08/preventing-xss-sanitize-app-inputs/
possibile duplicato di [Come "purificare" il codice HTML per prevenire attacchi XSS in Java o JSP?] (http://stackoverflow.com/questions/3587199/how-to-purify-html-code-to-prevent-xss-attacks-in-java-or-jsp) e [Best regex per catturare XSS (Cross-site Scripting) attack (in Java)?] (http://stackoverflow.com/questions/24723/best-regex-to-catch-xss-cross-site-scripting-attack-in-java) – BalusC
@BalusC - true. – ripper234