私はJavaベースのWebアプリケーションをやっています。ユーザーは、他のユーザーに表示されるコンテンツを入力できます。
当然、セキュリティ上の理由から、XSS やその他の攻撃を防ぐためにユーザー コンテンツをフィルター処理する必要があります。
ユーザー コンテンツのフィルタリングがよく議論されるトピックであることは理解しています。SO で多くの投稿を見つけましたが、それらは理論の議論、PHP、アイデアなどに関連しています。すべてを書き直したり発明したりするのを避けるために、使用する Java ライブラリが必要です。私はそこに1つあるに違いないと感じています。
私が使用できるそのようなライブラリはありますか?
情報をありがとう!
XSS を防ぐためにユーザー入力をサニタイズしたい場合、OWASPはAntiSamyプロジェクトでそれを行うための標準実装を提供します。
owasp-java-html-sanitizerと呼ばれる Google コードでこれをより適切に実装しています。これにより、プログラムでポリシーを定義し、ポリシーを介して疑わしい HTML を実行して、ナンセンスをすべて取り除くことができます。
これは彼らのウェブサイトからの例です:
PolicyFactory policy = Sanitizers.FORMATTING.and(Sanitizers.LINKS);
String safeHTML = policy.sanitize(untrustedHTML);
これにより、疑わしい HTML のフォーマットとリンクのみを許可するポリシーが作成され、それ以外はすべて削除されます。