作为搞WEB的JAVA程序员,前台很容易碰到xss类的漏洞,但又不具备专业的安全知识,工作中项目紧的时候又没时间去研究那东西,所以就需要一个拿来就能用的,安全性合格的xss防御方法。
很幸运OWASP就提供了一个供java开发使用的xss防御方案。OWASP Java Encoder Project
OWASP的大名相信搞安全的同学都熟的不能再熟了,OWASP是一家给个人或企业提供 安全项目的一个非营利组织。
直接看个例子
很明显的xss存储漏洞。因为没做任务过滤处理嘛-
然后导入jar
<!-- xss -->
org.owasp.encoder
encoder
1.2.1
org.owasp.encoder
encoder-jsp
1.2.1
在接收前台传来的消息处加上
/**
* 收到客户端消息后调用的方法
* @param message 客户端发送过来的消息
* @param session 可选的参数
*/
@OnMessage
public void onMessage(String message, Session session) {
System.out.println("来自客户端的消息:" + message);
message = Encode.forHtmlContent(message);
sendMsgToClient(WebKeys.SEND_MESSAGE , message);
}
message = Encode.forHtmlContent(message);
其他什么都不用改,再来测试下。
看到吧,很明显已经过滤了。这种方法就是简单,速度快,安全性还有保障,感兴趣的同学可以看看源码。
————————————————
版权声明:本文为CSDN博主「sunpx3」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/sunpx3/article/details/81563487