Java 如何净化 HTML 代码以防止 XSS 攻击？

在Java中防止XSS（跨站脚本攻击）非常重要，可以通过几种方式来净化HTML代码。下面我将详细介绍两种常用的方法：

1. 使用HTML净化库

最常见且有效的方法是使用专门的库来净化HTML代码，以确保所有输入都是安全的。一个非常流行和广泛使用的库是OWASP Java HTML Sanitizer。这个库允许我们定义自己的策略来白名单允许的HTML元素和属性，从而防止恶意脚本的注入。

示例代码：

java
import org.owasp.html.HtmlPolicyBuilder;
import org.owasp.html.PolicyFactory;

public class HtmlSanitizerExample {
    public static void main(String[] args) {
        String unsafeHtml = "<script>alert('XSS')</script><p>Hello, world!</p>";

        PolicyFactory policy = new HtmlPolicyBuilder()
                .allowElements("p")
                .toFactory();

        String safeHtml = policy.sanitize(unsafeHtml);

        System.out.println(safeHtml);  // 输出: <p>Hello, world!</p>
    }
}

在这个例子中，我们使用了OWASP HTML Sanitizer来定义一个策略，该策略仅允许<p>标签。所有其他标签，包括潜在危险的<script>标签，都被移除了。

2. 使用Java标准库进行编码

另一种方法是对HTML相关的特殊字符进行编码。这不是净化HTML的最佳方法，但在某些情况下，对于非HTML内容（如JavaScript变量或URL参数）的XSS防护，这种方法也很有用。

示例代码：

java
import org.apache.commons.text.StringEscapeUtils;

public class EncodeHtmlExample {
    public static void main(String[] args) {
        String unsafeHtml = "<script>alert('XSS')</script><p>Hello, world!</p>";

        String safeHtml = StringEscapeUtils.escapeHtml4(unsafeHtml);

        System.out.println(safeHtml); // 输出: &lt;script&gt;alert('XSS')&lt;/script&gt;&lt;p&gt;Hello, world!&lt;/p&gt;
    }
}

在这个例子中，我们使用了Apache Commons Text库中的StringEscapeUtils.escapeHtml4方法来对HTML进行编码。这将转义HTML中的特殊字符，防止它们被解释为有效的HTML标记或JavaScript代码。

总结

使用专门的HTML净化库是防止XSS攻击的最有效方式，因为这些库设计时已考虑到了各种潜在的XSS攻击向量。在无法使用这些库的情况下，将特殊字符编码也是一种较为安全的备选方案。总之，选择合适的防护措施应基于具体的应用场景和安全需求。