URL中的XSS攻擊
[英]XSS attack in URL
問題描述
我有春季申請。 我已經閱讀了有關 XSS attach 的內容,並且我通過這里的答案全局禁用了如何防止人們在 Spring MVC 中執行 XSS?
(我把上下文參數放在 web.xml 中)
但是我仍然可以通過在 URL 中提供腳本來在 URL 中進行 xss 攻擊
https://localhost/sam/pop/viewProfile?id=/%3E%3Cscript%3Ealert%28123%29%3C/script%3E
如何解決這個問題?
1 個解決方案
解決方案1
1 已采納 2015-09-25 13:12:42
我認為您只需要使用模式來清除您的帖子或獲取參數。 這是最流行的黑客技巧,因為你應該記住你在服務器端所做的事情。 看看這個簡單的 HTML 模式( http://ideone.com/zJ8BGT ):
import java.util.*;
import java.lang.*;
import java.io.*;
class Ideone
{
public static void main (String[] args) throws java.lang.Exception
{
String pattern = "</{0,1}\\s*(((\\w+\\s*)={0,1}(\"|'){0,1}((\\w+\\s*-*_*)*(:|;|\\)|\\()*/{0,2}(\\w*\\s*/{0,1}\\.{0,1}&*;*\\?*=*-*\\+*%*)(\"|'){0,1}))\\s*)*/{0,1}>";
String str = "<script>alert(123)</script>";
System.out.println(str.replaceAll(pattern, ""));
}
}
XSS攻擊:OWASP的替代方案?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.