Gitblit devel
blame | history | raw
James Moger
2015-03-07 c9afc9ed01dbc6b74ecb2734d2cd7ed943b5d643 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89

/*


 * Copyright 2014 gitblit.com.


 *


 * Licensed under the Apache License, Version 2.0 (the "License");


 * you may not use this file except in compliance with the License.


 * You may obtain a copy of the License at


 *


 *     http://www.apache.org/licenses/LICENSE-2.0


 *


 * Unless required by applicable law or agreed to in writing, software


 * distributed under the License is distributed on an "AS IS" BASIS,


 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.


 * See the License for the specific language governing permissions and


 * limitations under the License.


 */


package com.gitblit.utils;


 


import org.jsoup.Jsoup;


import org.jsoup.nodes.Document;


import org.jsoup.safety.Cleaner;


import org.jsoup.safety.Whitelist;


 


/**


 * Implementation of an XSS filter based on JSoup.


 *


 * @author James Moger


 *


 */


public class JSoupXssFilter implements XssFilter {


 


     private final Cleaner none;


 


     private final Cleaner relaxed;


 


     public JSoupXssFilter() {


         none = new Cleaner(Whitelist.none());


         relaxed = new Cleaner(getRelaxedWhiteList());


    }


 


    @Override


    public String none(String input) {


        return clean(input, none);


    }


 


    @Override


    public String relaxed(String input) {


        return clean(input, relaxed);


    }


 


    protected String clean(String input, Cleaner cleaner) {


        Document unsafe = Jsoup.parse(input);


        Document safe = cleaner.clean(unsafe);


        return safe.body().html();


    }


 


    /**


     * Builds & returns a loose HTML whitelist similar to Github.


     *


     * https://github.com/github/markup/tree/master#html-sanitization


     * @return a loose HTML whitelist


     */


    protected Whitelist getRelaxedWhiteList() {


        return new Whitelist()


        .addTags(


                "a", "b", "blockquote", "br", "caption", "cite", "code", "col",


                "colgroup", "dd", "del", "div", "dl", "dt", "em", "h1", "h2", "h3", "h4", "h5", "h6", "hr",


                "i", "img", "ins", "kbd", "li", "ol", "p", "pre", "q", "samp", "small", "strike", "strong",


                "sub", "sup", "table", "tbody", "td", "tfoot", "th", "thead", "tr", "tt", "u",


                "ul", "var")


 


        .addAttributes("a", "class", "href", "style", "target", "title")


        .addAttributes("blockquote", "cite")


        .addAttributes("col", "span", "width")


        .addAttributes("colgroup", "span", "width")


        .addAttributes("div", "class", "style")


        .addAttributes("img", "align", "alt", "height", "src", "title", "width")


        .addAttributes("ol", "start", "type")


        .addAttributes("q", "cite")


        .addAttributes("span", "class", "style")


        .addAttributes("table", "class", "style", "summary", "width")


        .addAttributes("td", "abbr", "axis", "class", "colspan", "rowspan", "style", "width")


        .addAttributes("th", "abbr", "axis", "class", "colspan", "rowspan", "scope", "style", "width")


        .addAttributes("ul", "type")


 


        .addEnforcedAttribute("a", "rel", "nofollow")


        ;


    }


 


}