Ich versuche, jsoup zu verwenden, um das HTML zu bereinigen, das von einem wysiwyg in meinem Klienten bekannt gegeben wird (ynymce, wie es geschieht)
Der entspannte Modus scheint nicht entspannt genug zu sein, da er standardmäßig Überspannungs- und Stilattribute streift.
zB
%Vor%würde ausgeben
%Vor%und
%Vor%würde komplett entfernt werden.
Hat irgendjemand irgendwelche Erfahrung mit der Verwendung von Jsoup, um die Möglichkeit von XSS-Attacken zu beseitigen und dennoch die oben genannten Elemente und Attribute durchzulassen?
Bearbeiten: Ich bin mit dem folgenden gegangen. Könnte jemand darüber beraten, wie verletzlich das ist?
%Vor%Edit 2: Hat jemand die OWSP-Bibliothek in der Produktion verwendet? Es sieht so aus, als würde es richtig sauber machen, während das korrekte Styling erhalten bleibt. OWASP
Es scheint, dass XSS mit dem style-Attribut möglich ist.
XSS-Angriffe und Stilattribute
Ссылка (Schauen Sie sich die DIV-Sektion an, von der ich annehme, dass sie für SPAN gleich funktioniert )
Hier ist ein Code, den ich geschrieben habe, um das Beispiel im letzten Link zu testen.
%Vor%Er gibt die Eingabe genau aus. Wenn das wirklich ein XSS-Vektor ist, könnte es immer noch Probleme geben.