本文介绍了ESAPI,一个免费的开源Web应用安全API,用于帮助开发者编写更安全的代码。通过在JAVAEE项目中引入esapi.jar和log4j.jar,可以利用ESAPI的Encode和Validator接口有效防范XSS跨站脚本攻击。如HTML编码器、HTML属性编码器、JavaScript编码器等,确保输出的安全性。
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。
ESAPI 安装(JAVA)
下载 ESAPI 的 Jar包 和 源码。
下载 Log4j(一定要导入这个jar包,没有会报错的!)
JAVAEE项目中,将 esapi.jar 和 log4j.jar 放到 WEB-INF 下的 lib 目录里面。
ESAPI 防护XSS跨站脚本攻击
ESAPI提供了两个相关接口 Encode、Validator 来防护XSS攻击。
Encode接口
Encode(编码器接口)包含了许多解码输入和编码输出的方法,这样处理过的字符对于各种解释器都是安全的。
ESAPI根据XSS问题的特征和产生的原因,提供了不同的接口:
HTML编码器(encodeForHTML)
alert('xss')";
HTML属性编码器(encodeForHTMLAttribute)
// out
JavaScript编码器(encoderForJavaScript)
var searchValue = ;
CSS编码器(encoderForCSS)
String safe_css = ESAPI.encoder().encoderForCSS( css );
URL编码器(encodeForURL)
String safe_url = ESAPI.encoder().encodeForURL("/?callback=");
VBScript编码器(encodeForVBScript)
String vb = ESAPI.encoder().encodeForVBScript("add(1)");
复合(嵌套)编码器
var vDiv= document.createElement('div');
vDiv.innerHTML ="";
document.body.appendChild(vDiv);
110
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
