AntiSamy测试

AntiSamy为owasp针对xss提供的处理库,可以配置xml策略来决定过滤的内容,比如标签、属性、css等,自定义策略给开发人员使用成本比较高,AntiSamy也提供了几个内置的策略,其安全级别也不同,过滤的内容也不一样,下边是针对自带的策略的测试。

测试代码:

package com.didichuxing.hive.client;

import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;

public class RichTextXssTest {

    public static void main(String[] args) {

                AntiSamy as = new AntiSamy();
                try{
                    //Policy policy = Policy.getInstance("antisamy-slashdot.xml");
                    Policy policy = Policy.getInstance("antisamy-ebay.xml");

                    CleanResults cr = as.scan("<img src=http://www.qq.com/a.jpg />", policy);
                    System.out.print(cr.getCleanHTML() + "1\r\n");


                    cr = as.scan("<sCript src=http://www.qq.com/a.js />", policy);
                    System.out.print(cr.getCleanHTML() + "2\r\n");

                    cr = as.scan("<img src=http://www.qq.com/a.jpg οnclick=alert(1) />", policy);
                    System.out.print(cr.getCleanHTML() + "3\r\n");

                    cr = as.scan("onfinish=javascript:a=alert;a(1)%3E%3C!—", policy);
                    System.out.print(cr.getCleanHTML() + "4\r\n");


                    cr = as.scan("<img src=\"javascript:alert('XSS')\">", policy);
                    System.out.print(cr.getCleanHTML() + "5\r\n");

                    cr = as.scan("<IMG src=JaVaScRiPt:alert('XSS')>", policy);
                    System.out.print(cr.getCleanHTML() + "6\r\n");

                    cr = as.scan("<IMG src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#x27&#x58&#x53&#x53&#x27&#x29>", policy);
                    System.out.print(cr.getCleanHTML() + "7\r\n");

                    cr = as.scan("<STYLE TYPE=\"text/javascript\">alert('XSS');</STYLE>", policy);
                    System.out.print(cr.getCleanHTML() + "8\r\n");

                    cr = as.scan("<A href=http://www.gohttp://www.google.com/ogle.com/>link</A>", policy);
                    System.out.print(cr.getCleanHTML() + "9\r\n");

                    cr = as.scan("<META HTTP-EQUIV=\"refresh\" CONTENT=\"0;url=javascript:alert('XSS');\">", policy);
                    System.out.print(cr.getCleanHTML() + "10\r\n");




                }
                catch(Exception ex) {
                    ex.printStackTrace();
                } ;
            }

}
一共测试了10个payload,测试结果如下:
antisamy-ebay.xml 策略的测试结果

 

antisamy-slashdot.xml 策略的测试结果:

antisamy-myspace.xml策略的测试结果:

antisamy-tinymce.xml策略的测试结果:

antisamy-anythinggoes.xml策略的测试结果

默认策略antisamy.xml 策略的测试结果:

 

 
 
 
 
 
 
 
 
 
 
 


 











 

转载于:https://www.cnblogs.com/SEC-fsq/p/8880190.html




    











本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/251920.shtml


如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!











相关文章










SoJpt Boot 2.2-3.8 发布,Spring Boot 使用 Jfinal 特性极速开发








SoJpt Boot 2.2-3.8 发布,Spring Boot 使用 Jfinal 特性极速开发




开发四年只会写业务代码&#xff0c;分布式高并发都不会还做程序员&#xff1f;   在Spring Boot框架下使用Jfinal特性极速开发,可以在Spring Boot中向使用Jfinal一样使用Enjoy、Aop、Controller等一系列方法(如: getFile(), renderFile....),以及ActiveRecord SoJpt Boot&…




阅读更多...

















3轴机器人各关节运动学建立,python编程,非常容易理解








3轴机器人各关节运动学建立,python编程,非常容易理解




分类&#xff1a;机器人学 
一、问题描述 如右图所示的三自由度机械臂&#xff0c;关节1和关节2相互垂直&#xff0c;关节2和关节3相互平行。如图所示&#xff0c;所有关节均处于初始状态。   要求: (1) 定义并标注出各关节的正方向&#xff1b; (2) 定义机器人基坐标系&#x…




阅读更多...

















Win 10 源码一览:0.5T 代码、400 万文件、50 万文件夹








Win 10 源码一览:0.5T 代码、400 万文件、50 万文件夹




Windows 操作系统本身是不开源的&#xff0c;但是近日微软内核工程师 Axel Rietschin 发表了一篇博客&#xff0c;带大家一窥了 Windows 10 内核的魅力。 Axel 介绍&#xff0c;Windows 10 与 Windows 8.x、7、Vista、XP、2000 和 NT 的代码库是相同的&#xff0c;其中每一代都…




阅读更多...

















JDK+Tomcat搭建JSP运行环境--JSP基础








JDK+Tomcat搭建JSP运行环境--JSP基础




一、搭建JSP运行环境之前需要了解的基本知识 配置JSP运行环境之前&#xff0c;我们需要了解JSP的运行机制。只有了解JSP运行机制后&#xff0c;我们才能知道为什么要搭建JSP运行环境?如何去搭建JSP运行环境?为什么要配置Tomcat、JDK&#xff1f; JSP(Java Sever Page)即Java服…




阅读更多...

















Docker容器的自动化监控实现








Docker容器的自动化监控实现




本文由  网易云 发布。 近年来容器技术不断成熟并得到应用。Docker作为容器技术的一个代表&#xff0c;目前也在快速发展中&#xff0c;基于 Docker的各种应用也正在普及&#xff0c;与此同时 Docker对传统的运维体系也带来了冲击。我们在建设运维平台的过程中&#xff0c;也需…




阅读更多...

















人工智能实战小程序之语音_前端开发








人工智能实战小程序之语音_前端开发




1. 人工智能实战小程序之准备工作 2. 人工智能实战小程序之语音_前端开发 今天这部分主要讲小程序前端功能的开发由于我偏后端&#xff0c;css是我的弱项&#xff0c;可能很多人和我一样开发小程序不知道如何下手&#xff0c;希望本篇文章对你有帮助我的学习路线是&#xff1a;…




阅读更多...

















当TFS/VSTS遇上Power BI








当TFS/VSTS遇上Power BI




引言众所周知&#xff0c;要对TFS进行深入的图表分析&#xff0c;往往需要依赖于SQL Server Analysis Service和SQL Server Reporting Service。虽然随着TFS对敏捷项目的支持&#xff0c;内置了诸如累积流图、燃尽图等快捷图表&#xff1b;并且在最新的版本中还可以在仪表盘和查…




阅读更多...

















HashMap深度解析:一文让你彻底了解HashMap








HashMap深度解析:一文让你彻底了解HashMap




写在前面HashMap是Map族中最为常用的一种&#xff0c;也是 Java Collection Framework 的重要成员。本文首先给出了 HashMap 的实质并概述了其与 Map、HashSet 的关系&#xff0c;紧接着给出了 HashMap 在 JDK 中的定义&#xff0c;并结合源码分析了其四种构造方式。最后&#…




阅读更多...

















python_线程、进程和协程








python_线程、进程和协程




线程 Threading用于提供线程相关的操作&#xff0c;线程是应用程序中工作的最小单元。 1 #!/usr/bin/env python2 #codingutf-83 __author__  yinjia4 5 6 import threading,time7 8 def show(arg):9     time.sleep(2)
10     print(线程:   str(arg))
11 
12 for i in range(…




阅读更多...

















第四章:手机平板要兼顾-探究碎片








第四章:手机平板要兼顾-探究碎片




碎片是什么&#xff1f; 碎片&#xff08;Fragment&#xff09;是一种可以嵌入在活动&#xff08;Activity&#xff09;中的 UI 片段&#xff0c;它能让程序更加合理和充分的利用大屏幕的空间&#xff0c;因而在平板上应用的非常广泛。 碎片的使用方式 静态嵌入动态加载碎片和活…




阅读更多...

















Android Studio 3.4增可视化资源管理工具 可管理和预览项目资源








Android Studio 3.4增可视化资源管理工具 可管理和预览项目资源




经过6个月的开发时间&#xff0c;网络大厂17日发布了最新版的App开发IDE Android Studio 3.4&#xff0c;现在就能够下载使用&#xff0c;除了有超过300个错误修护和稳定度增强之外&#xff0c;在开发、建置和测试App阶段&#xff0c;都推出了一些小的新功能和工具&#xff0c;…




阅读更多...

















[IoC容器Unity]第三回:依赖注入








[IoC容器Unity]第三回:依赖注入




上节介绍了&#xff0c;Unity的Lifetime Managers生命周期&#xff0c;Unity具体实现依赖注入包含构造函数注入、属性注入、方法注入&#xff0c;所谓注入相当赋值&#xff0c;下面一个一个来介绍。 2.构造函数注入 Unity利用Resolve方法解析一个对象&#xff0c;都是调用注册类…




阅读更多...

















Apache CarbonData 1.5.0编译及安装








Apache CarbonData 1.5.0编译及安装




2019独角兽企业重金招聘Python工程师标准>>>   一、编译环境描述 OpenStack创建五个虚拟机&#xff0c;其中1个主节点&#xff08;hostname为bigdatamaster&#xff09;&#xff0c;4个从节点&#xff08;hostname分别为&#xff0c;bigdataslave1、bigdataslave2、bi…




阅读更多...

















Filter介绍








Filter介绍




Filter 可认为是 Servlet的一种 “ 加强版 ”&#xff0c;它主要用于对用户请求进行预处理&#xff0c; 也可以对HttpServletResponse 进行后处理&#xff0c;是个典型的处理链。Filter 也可对用户请求生成响应&#xff0c;这一 点与Servlet 相同&#xff0c; 但实际上很少会使…




阅读更多...

















python --- 二分查找算法








python --- 二分查找算法




二分查找法&#xff1a;在我的理解中这个查找方法为什么会叫二分呢&#xff0c;我认为是将要查询的一个列表分成了两份&#xff0c;然后在利用某个值来进行比较&#xff0c;在一个不断循环的过程中来找出我们要找的某一个值。 废话不多说&#xff0c;先上代码&#xff1a; 1 de…




阅读更多...

















Java暑假作业








Java暑假作业




一.《大护法》观影有感 ...     从预告开始就期待着这部影片&#xff0c;在看过一遍后又忍不住二刷&#xff0c;影片观看至第二遍后&#xff0c;对于全片的脉络也更清晰了一点&#xff0c;虽然打着暴力美学的旗子&#xff0c;但《大护法》偏偏更文艺一些。文艺片是没有对错的&a…




阅读更多...

















使用EasyNetQ组件操作RabbitMQ消息队列服务








使用EasyNetQ组件操作RabbitMQ消息队列服务




RabbitMQ是一个由erlang开发的AMQP(Advanved Message Queue)的开源实现&#xff0c;是实现消息队列应用的一个中间件&#xff0c;消息队列中间件是分布式系统中重要的组件&#xff0c;主要解决应用耦合&#xff0c;异步消息&#xff0c;流量削锋等问题。实现高性能&#xff0c;…




阅读更多...

















TensorFlow 1.12.2 发布,修复 GIF 构造安全漏洞








TensorFlow 1.12.2 发布,修复 GIF 构造安全漏洞




开发四年只会写业务代码&#xff0c;分布式高并发都不会还做程序员&#xff1f;   TensorFlow 1.12.2 发布了&#xff0c;此处本修复了一个潜在的安全漏洞&#xff1a; 精心设计的 GIF 图像可以在解码过程中产生空指针解引用更新说明&#xff1a; https://github.com/tensorflo…




阅读更多...

















对象变为指定格式的数组








对象变为指定格式的数组




拿到的对象的格式&#xff08;一个对象里面都好多属性&#xff09; 想要转换成的数据格式&#xff08;一个数组里面有好多个对象&#xff0c;每个对象有一个id和name的属性&#xff09; 如何处理的 selectionChange(val) { // 列表选择var dynamicTags1  [];var arr[]for(var i…




阅读更多...

















mysql学习(2)索引的本质








mysql学习(2)索引的本质




2019独角兽企业重金招聘Python工程师标准>>>   问题&#xff1a;SQL查询慢怎么办&#xff1f; 优化手段&#xff0c;加索引。 索引是帮助MYSQL高效的获取数据的排好序的数据结构。 问题&#xff1a;索引结构为什么使用Btree而不使用二叉树&#xff0c;红黑树或者HASH结…




阅读更多...


















推荐文章












最新文章


















Copyright @ 2022~2023