簡體 English 中英

Struts XSS預防-防止GET XSS

[英]Struts XSS Prevention - Prevent a GET XSS

原文 2013-07-31 18:52:22 9 1 java/ struts/ xss

通過結合bean：write消息中的filter =“ true”並在我正在使用的標簽庫中使用StringEscapeUtils.escapeHtml4（string），我已經能夠防止Struts 1.2中的XSS攻擊。 但是，我可以通過以下形式的URL攻擊來攻擊我的網站...

www.mysite.com/App/Start.do?logo=mylogo'><script>alert("ATTACK")</script>

關於防止這種情況的最佳方法的任何建議。 我嘗試使用Servlet過濾器，但不想將所有請求輸入都轉換為特殊字符。

1 個解決方案

我發現阻止XSS的最簡單方法是在寫入網頁之前，用< ， >和"替換所有> ， <和"字符。只要您不將用戶輸入內容放在XSS中，就應該保護您免受XSS的攻擊位置，例如腳本標簽，圖像標簽（可以從圖像標簽的src =獲得XSS）等，因為它們將無法創建自己的標簽。

在PHP中，您可以使用htmlSpecialChars方法對所有字符進行編碼。 但是Java沒有這種方法，因此最快的方法就是替換那些方法，您應該親自檢查整個列表。 應該不太難實現5 replaceAll()

您使用StringEscapeUtils方法的文檔聲稱可以執行我在上面建議的操作，因此您應檢查您使用該方法的正確性，因為您的示例不能幸免於這種形式的預防。

如何使用Struts防止XSS漏洞

[英]How to prevent XSS vulnerability with Struts

用於XSS預防的ESAPI不起作用

[英]ESAPI for XSS prevention not working

XSS預防，最少的實施

[英]XSS prevention, minimal implementation

REST調用的XSS預防

[英]XSS prevention for REST calls

XSS攻擊預防

[英]XSS attack prevention

Playframework中的XSS預防1.2.4

[英]XSS prevention in playframework1.2.4

outputStream編寫一個byteArray-XSS預防

[英]outputStream writing a byteArray - XSS prevention

XSS錯誤：如何防止這種情況？

[英]XSS Error : How to prevent this?

JSP/Servlet web 應用程序中的 XSS 預防

[英]XSS prevention in JSP/Servlet web application

GWT - XSS 預防和呈現安全/簡單的 html

[英]GWT - XSS prevention and rendering safe/simple html

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何使用Struts防止XSS漏洞用於XSS預防的ESAPI不起作用 XSS預防，最少的實施 REST調用的XSS預防 XSS攻擊預防 Playframework中的XSS預防1.2.4 outputStream編寫一個byteArray-XSS預防 XSS錯誤：如何防止這種情況？ JSP/Servlet web 應用程序中的 XSS 預防 GWT - XSS 預防和呈現安全/簡單的 html

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM