[英]XSS vulnerability in java
如何解決以下XSS漏洞問題?
如何保護我的網站免受XSS漏洞的侵害?
通過在網站的URL中添加JavaScript,所有的cookie值都將被顯示。
以下是由Java腳本組成的URL的類似示例:
https://www.example.com/ > <腳本> alert(document.cookie)</腳本>&UserTarget = https://www.example.com/homepageredirect.jsp
為了解決這個問題,我在webserver 7.0的obj.conf文件中添加了以下文件管理器:
Input fn="insert-filter"
method="POST"
filter="sed-request"
sed="s/(<|%3c)/\\< / gi"
sed="s/(>|%3e)/\\>/gi"
在obj.conf中進行了這些更改之后,問題仍然沒有得到解決。 請提出一些建議。
當您打印HTML時,只需在客戶端(或服務器端,取決於要打印的內容)中的特殊字符轉義,然后您就可以通過任何輸入,而無需使用笨拙的正則表達式或其他一種過濾器。
示例:假設我有一個可以接收<script>alert( document.cookie )</script>
的變量,當我打印時,我會做類似<div> <%= escapeHTML( dangerousVariable ) %> </div>
。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.