原文地址1:http://www.cnblogs.com/webclz/p/4159577.html 和
原文地址2:http://breezylee.iteye.com/blog/2063615整合而成
这几天遇到这三个问题,现在简单的记录下来。
1、跨域
如我服务器的域名是www.test1.com,我在另一个服务器www.test2.com通过ajax访问www.test1.com的数据时,就引起跨域的问题,提示错误 No 'Access-Control-Allow-Origin' header is present on the...
网上有很多文章,可以搜索下。http://blog.csdn.net/liruxing1715/article/details/18707605 http://twlidong.github.io/blog/2013/12/22/kua-yuan-zi-yuan-gong-xiang-cross-origin-resource-sharing-cors/
jquery已经考虑到了这个问题,在ajax中封装了应对跨域的方法。参考上面黏出的第一个链接,我解决了问题。
2、xxs攻击 xss表示Cross Site Scripting(跨站脚本攻击),通过插入恶意脚本,实现对用户游览器的控制
假如用户提交的数据含有js代码,不做任何处理就保存到了数据库,读出来的时候这段js代码就变成了可执行的代码,将会产生意向不到的效果。一般用户提交的数据永远被认为是不安全的,在保存之前要做对应的处理。这次我就遇到了这个问题,
我提交的内容<script>alert(1111)</script>,或者<a href="www.baidu.com">百度</a>,读出来的时候,将直接弹出1111,或者百度是有效的超链接,这个显然是不行的。
关于xss的概念和解决方案网上很多,可以参考这个:
http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen
这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。
解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。
其中,输入时的过滤是用一个filter来实现,
实现过程:
在web.xml加一个filter
- <filter>
- <filter-name>XssEscape</filter-name>
- <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>XssEscape</filter-name>
- <url-pattern>/*</url-pattern>
- <dispatcher>REQUEST</dispatcher>
- </filter-mapping>
XssFilter 的实现方式是实现servlet的Filter接口
- package cn.pconline.morden.filter;
- import java.io.IOException;
- import javax.servlet.Filter;
- import javax.servlet.FilterChain;
- import javax.servlet.FilterConfig;
- import javax.servlet.ServletException;
- import javax.servlet.ServletRequest;
- import javax.servlet.ServletResponse;
- import javax.servlet.http.HttpServletRequest;
- public class XssFilter implements Filter {
- @Override
- public void init(FilterConfig filterConfig) throws ServletException {
- }
- @Override
- public void doFilter(ServletRequest request, ServletResponse response,
- FilterChain chain) throws IOException, ServletException {
- chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
- }
- @Override
- public void destroy() {
- }
- }
关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:
- package cn.pconline.morden.filter;
- import javax.servlet.http.HttpServletRequest;
- import javax.servlet.http.HttpServletRequestWrapper;
- import org.apache.commons.lang3.StringEscapeUtils;
- public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
- public XssHttpServletRequestWrapper(HttpServletRequest request) {
- super(request);
- }
- @Override
- public String getHeader(String name) {
- return StringEscapeUtils.escapeHtml4(super.getHeader(name));
- }
- @Override
- public String getQueryString() {
- return StringEscapeUtils.escapeHtml4(super.getQueryString());
- }
- @Override
- public String getParameter(String name) {
- return StringEscapeUtils.escapeHtml4(super.getParameter(name));
- }
- @Override
- public String[] getParameterValues(String name) {
- String[] values = super.getParameterValues(name);
- if(values != null) {
- int length = values.length;
- String[] escapseValues = new String[length];
- for(int i = 0; i < length; i++){
- escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
- }
- return escapseValues;
- }
- return super.getParameterValues(name);
- }
- }
到此为止,在输入的过滤就完成了。
在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。
复杂内容的显示,具体问题再具体分析。
另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。
3、sql注入攻击 SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的
我用的PDO连接,但是如果不用参数绑定的话,是依然可以sql注入的。应该多注意使用绑定参数!