防止跨站脚本攻击XSS
使用freemarker ?html 转义字符串
防止session劫持
1.通过发放令牌并在拦截器中验证令牌的方式
2.令牌增加用户IP与浏览器环境,验证用户授权时环境,与当前访问环境是否一致
3.将JSESSIONID的cookie设置为HttpOnly,方式:Tomcat context.xml 文件中配置<Context useHttpOnly="true">
4.将其他cookie也设置为HttpOnly,防止脚本(js.applet)读取cookie
使用freemarker ?html 转义字符串
防止session劫持
1.通过发放令牌并在拦截器中验证令牌的方式
2.令牌增加用户IP与浏览器环境,验证用户授权时环境,与当前访问环境是否一致
3.将JSESSIONID的cookie设置为HttpOnly,方式:Tomcat context.xml 文件中配置<Context useHttpOnly="true">
4.将其他cookie也设置为HttpOnly,防止脚本(js.applet)读取cookie