防止xss攻击的有效方法
摘要:这篇文章主要为大家介绍了防止xss攻击的有效方法,何为xss攻击,我们可以采取什么样的措施去御防xss攻击,感兴趣的小伙伴们可以参考一下最近...
这篇文章主要为大家介绍了防止xss攻击的有效方法,何为xss攻击,我们可以采取什么样的措施去御防xss攻击,感兴趣的小伙伴们可以参考一下
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。
问题描述:
在页面上有个隐藏域:
XML/HTML Code复制内容到剪贴板当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上
如果此时action被用户恶意修改为:***"alert(1);"***
此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。
解决思路:
该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:
1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护
2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:
Java Code复制内容到剪贴板 import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang3.StringEscapeUtils; public class XssRequestWrapper extends HttpServletRequestWrapper { public XssRequestWrapper(HttpServletRequest request) { super(request); } public String getParameter(String name) { String value = super.getParameter(name); if (value == null) { return null; } return StringEscapeUtils.escapeHtml4(value); } public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) { return null; } String[] newValues = new String[values.length]; for (int i = 0; i【防止xss攻击的有效方法】相关文章:
★ 删除lpt1.css.asp或com8.index.asp这类文件的方法
下一篇:
剖析DDoS攻击原理