防止XSS脚本注入-前端、后端
作者
时间
雨中星辰
2020-09-10
xss是什么
跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
xss脚本注入演示
通过表单,先添加一个数据,其中一条数据为脚本
插入数据
刷新页面
刷新页面
从截图看,注入的脚本已经执行了。
防止xss脚本注入的原理
将参数中的特殊字符进行转换
处理前为:
处理后为:
<script>alert(1);</script>
后台springboot 防止xss注入配置
添加依赖
org.apache.commons
commons-text
1.8
添加xss过滤器
import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringEscapeUtils;
impo