在開發(fā)網(wǎng)站的時(shí)候，經(jīng)常會(huì)提供用戶評論的功能。有些不懷好意的用戶，會(huì)搞一些腳本到評論內(nèi)容中，而這些腳本可能會(huì)破壞整個(gè)頁面的行為，更嚴(yán)重的是獲取一些機(jī)要信息，此時(shí)需要清理該HTML，以避免跨站腳本cross-site scripting攻擊（XSS）。

我們可以使用jsoup HTML Cleaner 方法進(jìn)行清除，但需要指定一個(gè)可配置的 Whitelist。

String unsafe = "<p><a href='http://baidu.com/' οnclick='stealCookies()'>Link</a></p>"; String safe = Jsoup.clean(unsafe, Whitelist.basic()); // now: <p><a href="http://baidu.com/" rel="nofollow">Link</a></p>

解說：
XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web里面的html代碼會(huì)被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。XSS屬于被動(dòng)式的攻擊，因?yàn)槠浔粍?dòng)且不好利用，所以許多人常忽略其危害性。所以我們經(jīng)常只讓用戶輸入純文本的內(nèi)容，但這樣用戶體驗(yàn)就比較差了。】

一個(gè)更好的解決方法就是使用一個(gè)富文本編輯器WYSIWYG如CKEditor 和 TinyMCE。這些可以輸出HTML并能夠讓用戶可視化編輯。雖然他們可以在客戶端進(jìn)行校驗(yàn)，但是這樣還不夠安全，需要在服務(wù)器端進(jìn)行校驗(yàn)并清除有害的HTML代碼，這樣才能確保輸入到你網(wǎng)站的HTML是安全的。否則，攻擊者能夠繞過客戶端的Javascript驗(yàn)證，并注入不安全的HMTL直接進(jìn)入您的網(wǎng)站。

jsoup的whitelist清理器能夠在服務(wù)器端對用戶輸入的HTML進(jìn)行過濾，只輸出一些安全的標(biāo)簽和屬性。

jsoup提供了一系列的Whitelist基本配置，能夠滿足大多數(shù)要求；但如有必要，也可以進(jìn)行修改，不過要小心。

這個(gè)cleaner非常好用不僅可以避免XSS攻擊，還可以限制用戶可以輸入的標(biāo)簽范圍。

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的Jsoup消除不受信任的HTML(用于防止XSS的攻击)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。