最近项目代码被安全测试组的同学提了一个安全的漏洞风险,在用户提交的页面文本输入提交数据处理的接口中没有做HTML Encode处理,导致用户输入的数据变成了代码。存在很严重的安全隐患,风险的大小取决于用户提交的数据变成可被执行的js代码逻辑。
如何防范:
对数据进行Html Encode 处理(可以用spring包里面的 HtmlUtils.htmlEscape(arg)方法对用户输入的文字进行编码过滤)。特别是在编写用户交互的网页或者APP时候一定要注意!
最近项目代码被安全测试组的同学提了一个安全的漏洞风险,在用户提交的页面文本输入提交数据处理的接口中没有做HTML Encode处理,导致用户输入的数据变成了代码。存在很严重的安全隐患,风险的大小取决于用户提交的数据变成可被执行的js代码逻辑。
如何防范:
对数据进行Html Encode 处理(可以用spring包里面的 HtmlUtils.htmlEscape(arg)方法对用户输入的文字进行编码过滤)。特别是在编写用户交互的网页或者APP时候一定要注意!
转载于:https://my.oschina.net/st9/blog/611009