我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:2019斗牛棋牌 > 防御能力 >

防范XSS攻击

归档日期:07-04       文本归类:防御能力      文章编辑:爱尚语录

  当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上

  此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。

  该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:

  1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护

  2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:

  以上方法没有解决本质问题,最本质的问题就是在编写代码时严禁将页面传递的参数不做任何处理再次返回到页面!

本文链接:http://xiahxiu.net/fangyunenli/177.html