【Jsoup学習エチケット】信頼できないHTMLを排除する（XSS攻撃を防ぐため）_html/css_WEB-ITnose

質問

ウェブサイトを構築する際、ユーザーのコメント機能が提供されることがよくあります。一部の悪意のあるユーザーはコメント コンテンツにスクリプトを挿入し、これらのスクリプトによってページ全体の動作が破壊されたり、さらに深刻な場合には機密情報が取得される可能性があります。現時点では、クロスサイト スクリプティングを回避するために HTML をクリーンアップする必要があります。 - サイト スクリプティング攻撃 (XSS)。

メソッド

クリーニングには jsoup HTML Cleaner メソッドを使用しますが、構成可能なホワイトリストを指定する必要があります。

String unsafe =   "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";String safe = Jsoup.clean(unsafe, Whitelist.basic());// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

説明

XSS は CSS (Cross Site Script) とも呼ばれ、クロスサイト スクリプティング攻撃です。これは、悪意のある攻撃者が Web ページに悪意のある HTML コードを挿入し、ユーザーがそのページを閲覧すると、Web に埋め込まれた HTML コードが実行され、ユーザーを悪意のある攻撃するという特別な目的を達成することを指します。 XSS は受動的攻撃であり、悪用するのが難しいため、多くの人がその害を無視することがよくあります。そのため、ユーザーにプレーン テキスト コンテンツの入力のみを許可することがよくありますが、これではユーザー エクスペリエンスが低下します。

より良い解決策は、CKEditor や TinyMCE などの WYSIWYG リッチ テキスト エディターを使用することです。これらは HTML を出力し、ユーザーによる視覚的な編集を可能にします。クライアント側で検証することはできますが、これは十分に安全ではありません。Web サイトに入力された HTML が安全であることを確認するには、サーバー側で検証して有害な HTML コードを削除する必要があります。そうしないと、攻撃者がクライアント側の Javascript 検証をバイパスし、安全でない HMTL を Web サイトに直接挿入する可能性があります。

jsoup のホワイトリスト クリーナーは、サーバー側でユーザーによる HTML 入力をフィルタリングし、安全なタグと属性のみを出力します。

jsoup は、ほとんどの要件を満たすことができる一連の基本的なホワイトリスト構成を提供しますが、必要に応じて変更できますが、注意してください。

このクリーナーは非常に使いやすく、XSS 攻撃を回避できるだけでなく、ユーザーが入力できるタグの範囲を制限することもできます。

正規表現が使用できず、安全なホワイトリスト パーサー ベースのクリーナーが正しい選択である理由の例については、XSS チートシートを参照してください。

文字列の代わりに Document オブジェクトを返す方法については、クリーナーを参照してください

カスタム ホワイトリストの作成方法については、ホワイトリストを参照してください

nofollow リンク属性を参照してください