一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述
XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。
1、严重性:中危。
2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。
3、原因:未对用户输入正确执行危险字符清理。
二、修复漏洞——配置XSS防止跨站点请求的过滤器
1、写一个XssHttpServletRequestWrapper实现HttpServletRequestWrapper,编写过XSS字符过滤逻辑。
package com.szgis.util;
import org.apache.commons.lang3.StringEscapeUtils;
import java.util.Enumeration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}