使用antisamy防范XSS攻击及常用antisamy策略文件
2016-12-20 13:18
1796 查看
本文提及的XML策略文件下载地址:http://download.csdn.net/detail/softwave/9716400
antisamy的maven依赖:
<dependency>
<groupId>org.owasp.antisamy</groupId>
<artifactId>antisamy</artifactId>
<version>1.5.3</version>
</dependency>
具体调用方法参见下图:
一般情况下,你可以在预定义的策略文件中找到一个与你站点需求大致匹配的AntiSamy策略文件。这些策略各自代表了一个典型的应用场景,来允许用户提交HTML(可能还有CSS)内容。让我们具体的看一下这些策略文件:
Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不要刻意去看)。
Slashdot的安全策略非常严格:用户只能提交下列的html标签:<b>, <u>, <i>, <a>, <blockquote>,并且还不支持CSS.
因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来直接修饰字体、颜色或者强调作用。
我们对eBay成为一些复杂XSS攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于eBay允许输入的内容列表包含了比Slashdot更多的富文本内容,所以它的受攻击面也要大得多。下面的标签看起来是eBay允许的(eBay没有公开标签的验证规则):<a>,...
MySpace现在用一个黑名单来验证用户输入的HTML,这就是为什么它曾受到Samy蠕虫攻击(http://namb.la/)的原因。Samy蠕虫攻击利用了一个本应该列入黑名单的单词(eval)来进行组合碎片攻击的,其实这也是AntiSamy立项的原因。
上文配置文件简介部分转自【http://www.owasp.org.cn/owasp-project/download/owasp-antisamy-java】
antisamy的maven依赖:
<dependency>
<groupId>org.owasp.antisamy</groupId>
<artifactId>antisamy</artifactId>
<version>1.5.3</version>
</dependency>
具体调用方法参见下图:
一般情况下,你可以在预定义的策略文件中找到一个与你站点需求大致匹配的AntiSamy策略文件。这些策略各自代表了一个典型的应用场景,来允许用户提交HTML(可能还有CSS)内容。让我们具体的看一下这些策略文件:
antisamy-slashdot.xml
Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限的HTML格式的内容匿名回帖。Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不要刻意去看)。
Slashdot的安全策略非常严格:用户只能提交下列的html标签:<b>, <u>, <i>, <a>, <blockquote>,并且还不支持CSS.
因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来直接修饰字体、颜色或者强调作用。
antisamy-ebay.xml
众所周知,eBay (http://www.ebay.com/)是当下最流行的在线拍卖网站之一。它是一个面向公众的站点,因此它允许任何人发布一系列富HTML的内容。我们对eBay成为一些复杂XSS攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于eBay允许输入的内容列表包含了比Slashdot更多的富文本内容,所以它的受攻击面也要大得多。下面的标签看起来是eBay允许的(eBay没有公开标签的验证规则):<a>,...
antisamy-myspace.xml
MySpace (http://www.myspace.com/)是最流行的一个社交网站之一。用户允许提交几乎所有的他们想用的HTML和CSS,只要不包含JavaScript。MySpace现在用一个黑名单来验证用户输入的HTML,这就是为什么它曾受到Samy蠕虫攻击(http://namb.la/)的原因。Samy蠕虫攻击利用了一个本应该列入黑名单的单词(eval)来进行组合碎片攻击的,其实这也是AntiSamy立项的原因。
antisamy-anythinggoes.xml
我也很难说出一个用这个策略文件的用例。如果你想允许所有有效的HTML和CSS元素输入(但能拒绝JavaScript或跟CSS相关的网络钓鱼攻击),你可以使用这个策略文件。其实即使MySpace也没有这么疯狂。然而,它确实提供了一个很好的参考,因为它包含了对于每个元素的基本规则,所以你在裁剪其它策略文件的时候可以把它作为一个知识库。上文配置文件简介部分转自【http://www.owasp.org.cn/owasp-project/download/owasp-antisamy-java】
相关文章推荐
- antisamy的策略文件使用详解
- 几款***常用工具的使用及防范
- 企业内部网中使用Policy文件来设置Java的安全策略
- Hibernate全局配置文件中常用标记的使用
- Ubuntu下使用VI编辑文件必知的常用命令
- MFC中常用数据类型转换及文件和对话框和几个控件的使用
- 使用批处理文件——常用命令
- java中对struts中token的使用方法以及jvm学习--策略文件简述
- day11 线程同步 使用 File 创建目录和文件 常用的 IO 流
- Ubuntu下使用VI编辑文件必知的常用命令
- GIT常用命令 && GIT本地使用 && GIT报错解决 && GIT的忽略文件(ignore files)
- 使用批处理文件--常用命令
- Oracle使用配置文件创建口令管理策略
- 使用策略文件读取服务器端文件
- ZZ: 使用 "接口" 了解设计模式--策略模式(多态)集合框架 泛型、文件、文件流 IO(流)
- net控件中数据导到Excel的格式 首先,我们了解一下excel从web页面上导出的原理。当我们把这些数据发送到客户端时,我们想让客户端程序(浏览器)以excel的格式读取它,所以把mime类型设为:application/vnd.ms-excel,当excel读取文件时会以每个cell的格式呈现数据,如果cell没有规定的格式,则excel会以默认的格式去呈现该cell的数据。这样就给我们提供了自定义数据格式的空间,当然我们必须使用excel支持的格式。下面就列出常用的一些格式: 1) 文本
- puppet安装与使用--配置文件及常用资源
- ubuntu下使用VI编辑文件必知的常用命令
- Ubuntu下使用VI编辑文件必知的常用命令-
- linux常用指令介绍_软件包管理_VIM编辑器的使用_用户和组账户管理_文件权限管理