| Autor |
Mensagem |
![[Post New]](/templates/default/images/icon_minipost_new.gif) 26/03/2007 20:59:17
|
EderBaum
JavaBaby
![[Avatar]](/images/avatar/b937384a573b94c4d7cc6004c496f919.jpg)
Membro desde: 27/07/2005 22:58:32
Mensagens: 92
Offline
|
Olá.
Preciso desenvolver um sistema que a pessoa possa mandar mensagens em HTML.
Até ai tudo bem, porém por segurança tenho que impedir que a pessoa possa inserir possivel código malicioso como:
Não só isso, impedir scripts escondidos como:
E transformá-lo em:
Alguém conhece alguma classe pronta que eu possa usar?
Valeu
|
sabesim.com.br |
|
|
 |
|
|
26/03/2007 22:00:01
|
marciocamurati
JavaEvangelist
![[Avatar]](/images/avatar/7371364b3d72ac9a3ed8638e6f0be2c9.jpg)
Membro desde: 29/05/2004 14:54:36
Mensagens: 322
Localização: São Paulo
Offline
|
Se você estiver usando JSTL pode usar o atributo escapeXml="false" que exite no caso as tags html como texto e não as executa no navegador.
[]s
|
Marcio Camurati |
|
|
|
26/03/2007 22:07:38
|
EderBaum
JavaBaby
Membro desde: 27/07/2005 22:58:32
Mensagens: 92
Offline
|
Não quero eliminar todas as tags, mas apenas agumas.
para eliminar TAGS já tenho a solução:
O problema é com atributos como:
ou
(repare as aspas que podem ser simples ou duplas, ou ainda inexistentes)
|
sabesim.com.br |
|
|
|
26/03/2007 22:14:34
|
Sami Koivu
Virtual Machine Man
![[Avatar]](/images/avatar/a4d8e2a7e0d0c102339f97716d2fdfb6.jpg)
Membro desde: 16/09/2004 09:49:27
Mensagens: 574
Localização: Curitiba-PR
Offline
|
É complicado mesmo. Caso você tiver que fazer na unha, a única dica que sei dar é: (e talvez seja óbvio para você, mas aqui vai mesmo assim) define os tags que devem ser aceitos e os atributos para cada tag que devem ser aceitos, e elimine tudo resto. Senão, a pessoa querendo atacar seu site vai sempre pensar em mais um jeito de diferente de escrever isso.
|
(Slightly) Random Broken Thoughts on Java Security |
|
|
|
04/05/2009 17:09:39
|
EderBaum
JavaBaby
Membro desde: 27/07/2005 22:58:32
Mensagens: 92
Offline
|
Ressuscitando meu velho tópico.
A resposta para isto é: www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
Há alguns bugs ainda com ele, mas quebra um galhão
|
sabesim.com.br |
|
|
|
01/03/2011 13:04:15
|
kfazolin
Entusiasta Java
Membro desde: 23/11/2009 17:05:22
Mensagens: 21
Offline
|
Eu sei que o tópico é velho, porém tive o mesmo problema e acho que outros também podem ter...
Achei outra solução, que é usando o Jsoup...
ai vai um exemplo
tem tudo lah no site deles...
http://jsoup.org/
Boa sorte !!
|
"e conhecereis a verdade, e a verdade vos libertará."
João 8:32
www.biblia.com.br |
|
|
|
01/03/2011 13:39:27
|
EderBaum
JavaBaby
Membro desde: 27/07/2005 22:58:32
Mensagens: 92
Offline
|
Atualmente uso esta solução aqui -> http://patapage.com/applications/pataPage/site/test/testSanitize.jsp
No entanto, olhando por alto a solução que você enviou parece ser mais robusta, pois esta ai de cima tive de alterar muitos Bugs que encontrei.
Já a outra solução do owasp, tive de descartar, pois em alguns casos ao limpar algum texto, a coisa simplesmente travava minha aplicação usando toda memoria RAM
This message was edited 2 times. Last update was at 01/03/2011 13:42:03
|
sabesim.com.br |
|
|
|
|
|
![[Up]](/templates/default/images/icon_up.gif){kind=icon}
![[WWW]](/templates/default/images/icon_www.gif){kind=icon}
![[MSN]](/templates/default/images/icon_msnm.gif){kind=icon}
![[ICQ]](/templates/default/images/icon_icq_add.gif){kind=icon}
![[Email]](/templates/default/images/icon_email.gif){kind=icon}
![[Yahoo!]](/templates/default/images/icon_yim.gif){kind=icon}