前记
web应用基于webx3框架,前端页面用velocity。在日常环境部署时,安全检测结果有css漏洞,并给出了解决方案。
1. XSS是什么?
XSS是 CrossSite Scripting的缩写,中文名称为跨站脚本攻击。
2. 如何实现XSS?
XSS是攻击者在Response中加入恶意脚本,脚本会在浏览器中执行,导致用户重要信息泄露。例如在服务器端的Screen java类里添加:
Code_1: context.put("css","<script> alert(\"My FirstJavaScript\");</script>");
那么浏览器就会执行这段js脚本, 弹出一个alert对话框
3. 如何防止XSS?
Webx3.0框架对XSS攻击有很好的解决方案。在webx*.xml配置文件里,默认情况下对所有htm文件进行转义,只有在noescape里配置的不转义。 例如