消除不受信任的HTML (來防止XSS攻擊)

問題

在作網站的時候，常常會提供用戶評論的功能。有些不懷好意的用戶，會搞一些腳本到評論內容中，而這些腳本可能會破壞整個頁面的行爲，更嚴重的是獲取一些機要信息，此時須要清理該HTML，以免跨站腳本cross-site scripting攻擊（XSS）。

方法

使用jsoup HTML Cleaner 方法進行清除，但須要指定一個可配置的 Whitelist。

String unsafe = 
  "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

說明

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。XSS屬於被動式的攻擊，由於其被動且很差利用，因此許多人常忽略其危害性。因此咱們常常只讓用戶輸入純文本的內容，但這樣用戶體驗就比較差了。

一個更好的解決方法就是使用一個富文本編輯器WYSIWYG如CKEditor 和 TinyMCE。這些能夠輸出HTML並可以讓用戶可視化編輯。雖然他們能夠在客戶端進行校驗，可是這樣還不夠安全，須要在服務器端進行校驗並清除有害的HTML代碼，這樣才能確保輸入到你網站的HTML是安全的。不然，攻擊者可以繞過客戶端的Javascript驗證，並注入不安全的HMTL直接進入您的網站。

jsoup的whitelist清理器可以在服務器端對用戶輸入的HTML進行過濾，只輸出一些安全的標籤和屬性。

jsoup提供了一系列的Whitelist基本配置，可以知足大多數要求；但若有必要，也能夠進行修改，不過要當心。

這個cleaner很是好用不只能夠避免XSS攻擊，還能夠限制用戶能夠輸入的標籤範圍。

參見

• 參閱XSS cheat sheet ，有一個例子能夠了解爲何不能使用正則表達式，而採用安全的whitelist parser-based清理器纔是正確的選擇。

• 參閱Cleaner ，瞭解如何返回一個 Document 對象，而不是字符串

• 參閱Whitelist，瞭解如何建立一個自定義的whitelist

• nofollow 連接屬性瞭解