HTML Purifier in Java:HTMLInputFilter

在製作 web services 的時候,我們常需要防範不當使用者的惡意攻擊,
而在這些攻擊之中,最著名的就是XSS (Cross Site Scripting),
其運作方式和常用的攻擊手法可見下列連結:
而在眾多的 web services 程式語法中,以 PHP 對 xss 攻擊的防範最完全,
因為 PHP 有個套件名為 HTML Purifier ,如官網的小標題,這個套件的目的是:
Standards-Compliant HTML Filtering ,也就是除了過濾也還有將語法標準化的功能。
HTML Purifier 經由多方的努力已有成效,他可抵擋的攻擊可見 xssAttacks

然而針對其他程式語言的使用者,看著 PHP 套件如此強大卻沒辦法使用,
在網路上詢問也只能得到像這個網站的解答:HTML Purifier in Java
這篇的結論是在 Java 中使用 Resin Quercus (a PHP interpreter for the JVM) ,
但實際上也沒有人測過到底會不會 work.... ,而且這種繞了大彎的方法真的很麻煩,
於是我後來找到的解法是:HTMLInputFilter,雖然功能可能沒有 HTML Purifier 強,
但至少基本的功能都有了,也算是可行的解決之道。

以下就是 HTMLInputFilter 的使用範例:
  1. import java.util.ArrayList;
  2. import com.josephoconnell.html.HTMLInputFilter;

  4. /**
  5. * 使用 HTMLInputFilter 達成過濾 xss 等惡意字串攻擊的範例
  6. *
  7. * @author werdna at http://werdna1222coldcodes.blogspot.com/
  8. */

  10. public class HTMLInputFilterDemo {

  12.     public static void main(String[] args) {

  14.         // For use of HTMLInputFilter, go to the followed website first.
  15.         // http://josephoconnell.com/java/xss-html-filter/

  17.         // 設定要過濾字串的 List
  18.         // 常見的 xss 攻擊語法可見:http://htmlpurifier.org/live/smoketests/xssAttacks.php
  19.         ArrayList<String> xssList = new ArrayList<String>();
  20.         xssList.add("<script>alert(document.cookie)</script>");
  21.         xssList.add("<script>alert('XSS')</script>");
  22.         xssList.add("<img src=\"javascript:alert('XSS')\"> ");
  23.         xssList.add("<BR SIZE=\"&{alert('XSS')}\">");
  24.         xssList.add("<LINK REL=\"stylesheet\" HREF=\"javascript:alert('XSS');\">");

  26.         // 取得 HTMLInputFilter 物件
  27.         HTMLInputFilter htmlInpuFilter = new HTMLInputFilter();
  28.         String purifiedHtml;

  30. for (String xss : xssList) {
  31.             // 過濾 xss 字串
  32.             purifiedHtml = htmlInpuFilter.filter(xss);
  33.             System.out.println("原始 xss:" + xss + "\t\t過濾後:" +purifiedHtml);
  34.         }
  35.     }
  36. }
  37.
輸出的結果會像下面,其中4, 5兩行過濾後輸出是空的:
  1. 原始 xss:<script>alert(document.cookie)</script>  過濾後:alert(document.cookie)
  2. 原始 xss:<script>alert('XSS')</script>            過濾後:alert('XSS')
  3. 原始 xss:<img src="javascript:alert('XSS')">      過濾後:<img src="#alert('XSS')" />
  4. 原始 xss:<BR SIZE="&{alert('XSS')}">              過濾後:
  5. 原始 xss:<LINK REL="stylesheet" HREF="javascript:alert('XSS');">過濾後:
由以上可知,介由 HTMLInputFilter 的確可過濾 xss 的攻擊,
如果不想浪費時間在 java 中呼叫 php 的功能,HTMLInputFilter 的確是個好選擇。

關鍵字:HTML, Purifier, HTMLInputFilter, xss, filter, purify, cross site scripting
參考資料:
  1. wikipedia:Cross-site scripting
  2. 浅析XSS(Cross Site Script)漏洞原理
  3. XSS (Cross Site Scripting) Cheat Sheet
  4. HTML Purifier
  5. HTML Purifier in Java
  6. HTMLInputFilter

留言

張貼留言

這個網誌中的熱門文章

【銀行代碼查詢】3碼銀行代碼列表、7碼分行代碼查詢

圖片
大家對銀行/金融機構的3碼代碼應該都非常熟悉 (例如郵局為700)。不過除了3碼的銀行代碼外,偶爾我們也需要查詢7碼的分行代碼!像我自己就遇過在郵局填匯款單時需要分行名稱及7碼代碼,另外某些銀行在申請由銀行帳戶自動扣繳信用卡卡費時也會需要!這篇就幫大家整理怎麼查詢「3碼銀行代碼 及 7碼分行代碼」!
繼續閱讀 »

【博客來折價券】博客來免費序號e-coupon分享(持續更新)

圖片
本篇由版主蒐集維護更新最新博客來e-coupon折價券序號長期分享,天天更新25,50,100等各式面額折價券!其中也有部份折價券是大家熱心分享的,如果大家有用不到的折價券再請提供出來,會將您加入分享排行榜喔! 雖然這邊天天都在努力整理,但博客來序號消耗的速度實在太快!沒搶到序號或想省更多的朋友,這邊有保留一些折價券給代訂,透過代訂的話完全不用搶,只要有滿足方案的金額即可使用更優惠的專屬折扣! 除了分享折價券和提供代訂服務外,這邊也天天更新博客來優惠活動、折價券取得及贈送購物金等情報,歡迎大家追蹤粉絲專頁,天天 follow 才不會錯失優惠折扣唷! 博客來系列文章 【博客來代訂】免費使用e-coupon折價券、購物金! 【博客來代訂】免費最高折200,代訂表單填寫教學! 【博客來折價券】最新博客來e-coupon折價券序號分享! 【博客來折價券】互通有無各取所需,請分享用不到的博客來序號!
繼續閱讀 »

【博客來折價券】25/50/100/150現領現折+天天簽到換200+OP兩倍換!

圖片
博客來不定時會有登入免費領折價券的活動,最常見的有博客來官方LINE好友免費領,以及官方不定時活動,另外也常與其他業者跨界合作!折價券面額通常為25/50/100,如果領的折價券用不到也歡迎分享出來! 博客來系列文章 【博客來折價券】最新博客來e-coupon折價券序號分享! 【博客來折價券】互通有無各取所需,請分享用不到的博客來序號! 【博客來代訂】免費使用e-coupon折價券、購物金! 【博客來代訂】免費使用折價券,代訂表單填寫教學! 另外這邊所有的折價券除了本站自行蒐集外,大部份的折價券都靠大家分享而來,若您覺得這邊的服務不錯,日後若有用不到的序號也請分享出來讓需要的人使用 ^^ 再麻煩大家依這篇序號徵求區說明,把用不到的序號分享出來~ 【博客來折價券】互通有無各取所需,請分享用不到的博客來序號! 若有想買東西或需要其他面額折價券,本站也有提供代訂服務及 e-coupon 分享,若有需要請見以下幾篇文章: 【博客來代訂】免費使用e-coupon折價券、購物金! 【博客來折價券】最新博客來e-coupon折價券序號分享!
繼續閱讀 »

Gmail 無限分身術:產生無限 email 帳號

圖片
平常三不五時大家都會有需要用 email 註冊的需求,雖然現在的免費 email 很多,也有許多提供免洗信箱的網站,但今天要介紹的是用 Gmail 產生無限個 email 帳號的方法。 更多 Email 相關文章請見: Email 高效率技巧、各式隱藏密技大全 圖片來源:http://techorange.com/tag/gmail/ Gmail有 兩 四種 (2012/5/28更新第3,4種) 擴充 email 位址的方法: 「 . 」: 因為Gmail會自動忽略「 . 」,所以用這種方法,信箱就可以有多重分身,如本來的信箱是 test@gmail.com,變身後就可以成為t.est@gmail.com、te.st@gmail.com、t.es.t@gmail.com等。 「 + 」: 使用「 + 」可以幫Gmail加上別名,同樣地可以達到分身的效果。以剛剛的例子而信,在原本的帳號最右邊加上「+123」的話,就可以有「123」這個別名,信箱便成為test+123@gmail.com,且每個帳號都可以擁有無限個別名,而寄到別名信箱的信通通都會寄到原來的信箱,但因為收件的 email 位址不同,所以我們可以設定不同的郵件篩選器,只要設定好篩選條件後,就可以很輕鬆的管理不同目的或類別的帳號囉! 變更帳號大小寫 : test@gmail.com = Test@gmail.com = TeSt@gmail.com  更改網域名稱 : @googlemail.com 是 gmail 在德國與英國所註冊的網域名稱,不過我們還是可以直接拿來使用,於是乎:test@gmail.com = test@googlemail.com 綜合以上 兩 四種擴充 Gmail 的方法,我們還可以把他們結合起來使用,如果 t.est++123@gmail.com, te.St+testt@gmail.com, t.eS.T@googlemail.com,看起來非常地不一樣,但都一樣可以從 test@gmail.com 收到喔! 透過這種方式,我們可以很容易地知道是哪個地方把我們的 email 帳號賣了,例如使用 yahoo 拍賣時我都用 test+ybuy@gmail.com 這個帳號,那之後如果這個帳號開始收到垃圾信就知道 mail 是給 yahoo 拍賣給賣了。
繼續閱讀 »

【新光卡攻略】台灣Pay單筆888送50+寰宇3%,LINE會員繳費10%!

圖片
新光銀行OU數位帳戶活存20萬享2.4%,新開戶加碼至6.08%!寰宇卡新戶多重贈+指定Pay 3%;新光ESG指定支付5%(含繳費);OU點點卡網購+外送3.5%;悠遊聯名卡全聯PX Pay及全家FamiPay皆享2.1%! 最新新光信用卡優惠活動 【新光卡全攻略】新戶辦卡首刷禮+刷卡優惠總覽(持續更新)   (辦卡/帳戶必看) OU數位帳戶與OU點點卡 【新光OU數位帳戶】活存2.4%可存20萬!新戶6.08%! 【新光OU點點卡】指定網購+外送平台輕鬆3.5%、最高9.5%! 其他信用卡優惠 【新光寰宇卡】指定支付3% (新戶+10%)+國外3%! 【新光ESG銀行白金卡】七大行動支付5% (繳費回饋更新中)! 【新光悠遊聯名卡】PxPay+FamiPay消費/儲值/繳費2.1%! 新權益已無亮點 【新光三越聯名卡】悠遊加值/兩大外送/Uber享10%回饋! 【新光分期七卡】滿777分7期+OPEN錢包11%+新戶刷7給7!
繼續閱讀 »