我有一个contentEditable类型的浏览器编辑器,用户可以在其中复制/粘贴或选择要放入其中的html片段。 这些片段可以是任何类型的HTML,因此我们必须清理内容,以使其不包含某些安全性问题标签(例如<script>等)。 我知道一些允许某些白名单策略的清理程序库(例如JVM上的JSoup),但是这些规则通常非常简单,例如说哪些标签/属性被列入白名单,什么也没有。 我们需要更高级的规则,例如: 定义保留或不保留哪些内联样式 将相对链接转换为绝对链接 根据类别将某些标签列入黑名单或白名单 根据UR…

2020年11月25日 0条评论 64点热度 阅读全文

我有一个来自用户的字符串,然后使用CSS解析器将其插入大CSS块中。 CSS转义可以使用\C(其中C是字符),\HexOfC (带空格)或\6DigitHexOfC完成。 通常,可以安全地转义所有字符,并且CSS仍将按预期运行。以下作品: div { background: \23 f66; } <div>Test</div> 但是,我仍然希望CSS属性尽可能“干净”,因为例如,我希望能够使用检查器清晰地查看URL和规则。 有些字符显然不好。 {};\*应该全部转义,因为它们可用于…

2020年7月6日 0条评论 14点热度 阅读全文

Checkmarx正在为我的Controller类中的以下方法提供XSS漏洞。具体来说:该元素的值(ResultsVO)随后会在代码中流动,而没有经过适当的清理或验证,最终会通过以下方法向用户显示: @RequestMapping(value = "/getresults", method = RequestMethod.POST, produces = "application/json") @ResponseBody public ResultsVO getConfigResults(@RequestBody …

2020年5月15日 0条评论 26点热度 阅读全文

是否有规则来识别和删除URL中的任何PII信息?我希望这是通用的,可以处理我们可能在互联网上遇到的各种URL。 澄清:我有一个浏览Internet并希望从其中删除PII的用户的网址列表。 解决方案如下: 要回答您对snemarch的答复中重申的问题,请执行以下操作: 是的,我明白。我的意思是在识别URL中的PII时需要牢记什么?在URls中发生PII的方式有哪些? HTTP GET信息可以通过许多不同的方式进行传输。一些(可能是大多数)如下所示: example.com/form.php?key=value。 其他…

2020年4月6日 0条评论 17点热度 阅读全文

当前,我们正在处理有关将错误日志打印到我们的服务器日志中的一个有趣的问题。我们已经设置了适当的全局错误处理程序,并具有自定义错误消息,这些消息作为响应从OSGi java servlet发送回去。 我们使用dockerized容器作为可自动缩放的服务器实例,因此我们正在考虑建立日志聚合器并将异常存储在云中的数据库中,这样我们还可以跟踪有关异常的指标并指出如何改进我们的异常开发过程中减少某些类型的错误等 我做了一些关于应该如何做的研究,我found this。 OWASP记录表作弊。它提到密码永远不应该被登录。这使我…

2019年10月20日 0条评论 20点热度 阅读全文

Vaadin框架具有此有用的RichTextArea组件。但是,用户可能会在此字段中插入有害的javascript,例如,因此在保存之前应清除该字段的值。 Vaadin这样做的方式是什么? Vaadin的书仅提到“应进行消毒”这一 Realm ,但并未暗示如何实际进行。一周前在论坛上提问没有得到任何答复。 我不想为此目的将更多的库添加到项目中。有或没有Vaadin的情况下,如何用Java制作自己的RichTextArea消毒剂? 解决方案如下: 最简单的方法是使用Vaadin 7附带的JSoup(vaadin-se…

2019年8月2日 0条评论 30点热度 阅读全文