使用OWASP Java HTML Sanitizer防止跨站脚本（XSS）攻击

OWASP Java HTML Sanitizer 是一个开源的Java库，用于防止跨站脚本（XSS）攻击。它通过对用户输入的HTML进行清洁和过滤来实现这一点，确保输出的HTML不包含任何恶意代码。

以下是关于 OWASP Java HTML Sanitizer 的一些关键点：

1. 策略驱动:

   • 这个库使用一套定义明确的策略来决定哪些HTML标签、属性和样式是允许的，哪些是不允许的。
   • 这种策略驱动的方法使得库的使用非常灵活，可以根据应用程序的具体需要进行配置。

2. 性能:

   • 该库经过优化，可以快速处理大量的HTML内容。

3. 使用简单:

   • 虽然库提供了许多高级特性和定制选项，但其基本用法非常简单和直观。

4. 安全:

   • OWASP Java HTML Sanitizer 经过了广泛的测试和审计，以确保其能有效地防止XSS攻击。

5. 内置策略:

   • 该库包含一些预定义的策略，如 PolicyFactory，这些策略可以很好地处理常见的使用场景。

6. 扩展性:

   • 如果内置策略不满足您的需求，您可以创建自己的策略或修改现有策略。

基本用法示例：

在 pom.xml 中添加 OWASP Java HTML Sanitizer 的依赖：

<dependency>
    <groupId>com.googlecode.owasp-java-html-sanitizer</groupId>
    <artifactId>owasp-java-html-sanitizer</artifactId>
    <version>20211018.1</version>
</dependency>

 

import org.owasp.html.PolicyFactory;
import org.owasp.html.Sanitizers;

public class HtmlSanitizerExample {

    public static void main(String[] args) {
        // 使用内置的策略来创建一个sanitizer
        PolicyFactory policy = Sanitizers.FORMATTING.and(Sanitizers.LINKS);
        
        // 清洁用户输入的HTML
        String dirtyInput = "<a href=\"javascript:evil()\">Click me</a>";
        String safeOutput = policy.sanitize(dirtyInput);

        System.out.println(safeOutput);  // 输出: <a rel="nofollow">Click me</a>
    }
}

 

在上面的示例中，Sanitizers.FORMATTING.and(Sanitizers.LINKS) 创建了一个允许基本格式和链接的策略，但它会移除不安全的属性，如 javascript: 链接。

总之，如果Java应用程序需要处理用户输入的HTML内容，OWASP Java HTML Sanitizer 是一个很好的工具，可以确保输出的HTML内容是安全的。

 

Sanitizers 预定义策略工具类介绍

Sanitizers 是 OWASP Java HTML Sanitizer 的一个工具类，它提供了一组常见的预定义策略，可以满足大多数常见的HTML清洁需求。以下是 Sanitizers 类中提供的预定义策略：

1. BLOCKS: 允许大多数块级元素，如 div, p, h1 - h6 等。
2. FORMATTING: 允许格式化元素，如 b, i, strong, em 等。
3. IMAGES: 允许安全的图片元素。这意味着会删除任何可能导致XSS的属性，如 onerror。
4. LINKS: 允许安全的链接元素。这将确保链接只使用 http、https 或 mailto 等安全的协议，并添加 rel="nofollow" 属性。
5. STYLES: 允许一些基本的安全样式，但不允许可能导致XSS的样式。
6. TABLES: 允许表格元素，如 table, tr, td, th 等。

这些预定义策略可以单独使用，也可以组合使用。例如：

PolicyFactory policy = Sanitizers.BLOCKS.and(Sanitizers.FORMATTING).and(Sanitizers.LINKS);

此外，这些预定义策略只是开始。OWASP Java HTML Sanitizer 提供了一个非常灵活的策略构建系统，您可以基于这些预定义策略创建您自己的自定义策略，以满足您的具体需求。

完全转义用户的输入

如果希望用户的输入只被视为普通文本，而不是HTML，那么应该完全转义用户的输入，以确保所有的HTML特殊字符都被转义。这样，当在网页上显示这些输入时，它们会被视为纯文本，而不会被浏览器解析为HTML。

使用 OWASP Java HTML Sanitizer，可以创建一个策略，该策略转义所有内容并不允许任何HTML标签。以下是如何实现的示例：

import org.owasp.html.HtmlPolicyBuilder;
import org.owasp.html.PolicyFactory;

public class PlainTextSanitizerExample {

    public static void main(String[] args) {
        // 创建一个策略，转义所有内容并不允许任何HTML标签
        PolicyFactory policy = new HtmlPolicyBuilder()
                .toFactory();

        // 清洁用户输入的HTML
        String userInput = "<script>alert('XSS')</script> Hello <b>World</b>";
        String safeOutput = policy.sanitize(userInput);

        System.out.println(safeOutput);  // 输出: &lt;script&gt;alert('XSS')&lt;/script&gt; Hello &lt;b&gt;World&lt;/b&gt;
    }
}

上面的代码片段创建了一个策略，该策略会转义所有的HTML内容。结果是，所有的HTML标签和属性都会被转义为它们对应的HTML实体，这样它们就不会被浏览器解析为真正的HTML元素或脚本。

这样，当在网页上显示 safeOutput 时，它会显示为原始的文本，而不会执行任何脚本或应用任何格式。