输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。
比如:在输入框,输入姓名“张三confirm(123)”
如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞。
xss漏洞很好预防,只要转码就行了。
预防方式,只要输出时做处理:
(1)jtsl:<c:out value="${name}" escapeXml="true"/>
(2)EL: ${fn:escapeXml(param)}
(3)工具类:
org.apache.commons.lang.StringEscapeUtils.escapeXml(String)。
实质就是转换几个特殊字符就行了:
> , < , & , ", '
另外,重点注意区别(包含了单引号):
xml转义字符:
< < 小于号
> > 大于号
& & 和
' ' 单引号
" " 双引号
html转义字符:
< 小于 <
> 大于 >
& &符号 &
" 双引号 "
© 版权 ©
® 已注册商标 ®
™ 商标(美国) ™
× 乘号 ×
÷ 除号 ÷
- 浏览: 376494 次
- 性别:
- 来自: 深圳
最新评论
-
Nabulio:
写的详细,特殊语法学习到了
jdk1.5-1.9新特性 -
wooddawn:
您好,最近在做个足球数据库系统,用到了betbrain的数据表 ...
javascript深入理解js闭包 -
lwpan:
很受启发 update也可以
mysql 的delete from 子查询限制 -
wuliaolll:
不错,总算找到原因了
mysql 的delete from 子查询限制
相关推荐
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Java防止xss攻击依赖jar包
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
解决方案是对request请求的parameter 参数做过滤与字符转义
防范json xss的方法 - 黑白网络 防范json xss的方法 - 黑白网络
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
xssObject 遍历对象以查找xss转义的字符串
本文实例讲述了Laravel5中防止XSS跨站攻击的方法。分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击。 1、...
所有需要的文件均在里面,超有所值
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)