java xss漏洞修复_java – 如何修复XSS漏洞

最新推荐文章于 2024-07-11 17:44:10 发布
最新推荐文章于 2024-07-11 17:44:10 发布
阅读量884 收藏
点赞数
文章标签: java xss漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39608301/article/details/114565852
版权

我们正在使用fortify扫描java源代码&它抱怨下面的错误:

Method abc() sends unvalidated data to a web browser on line 200, which can result in the browser executing malicious code.

我们在第200行的代码下面:

Product

和Util.java下面的getProduct方法中的代码:

String prod = request.getParameter("prod");

任何人都可以告诉我如何解决这个XSS漏洞吗?

谢谢!

解决方法:

您需要转义Util.getProduct(request)的输出.通常,这是使用JSTL和< c:out>完成的.标签和EL:

" class="left_nav_link">Product

由于你的问题中的代码包含scriptlet,我强烈建议你阅读How to avoid Java code in JSP files?这个问题包括使用JSTL EL而不是scriptlet的原因,以及关于这两个首字母缩略词实际引用的内容的一些信息.

标签:java,jsp,fortify

来源: https://codeday.me/bug/20190630/1336506.html

weixin_39608301
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java代码审计】XSS
大河之犬的博客
12-16 1万+
XSS 漏洞是指攻击者在网页嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2129
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java xss漏洞修复_XSS漏洞修复方案 - zhang2xiang的个人空间 - OSCHINA - 文开源技术交流社区...
weixin_33209661的博客
02-24 852
基本概念及解决办法比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义1、增加过滤器XssFilter.javapublic class XssFilter implements Filter {FilterConfig filterConfig = null;private List urlExclusion = nu...
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 991
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
java实战:Java处理XSS漏洞的四种方法及代码示例
热门推荐
oandy0的博客
02-16 1万+
本文将介绍几种在Java处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序实施有效的安全措施,以防范XSS攻击。
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 2107
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
java xss编码注入漏洞,Java编码安全漏洞之:跨站
weixin_35941667的博客
03-13 1922
Reflected_XSS_All_Clients反射跨站,来自用户的数据直接输出到客户端。修复建议使用跨站修复函数处理输出到客户端的数据字符串。修复示例如:public void XSS(HttpServletRequest request, HttpServletResponse response){String text = request.getParameter("text");Syst...
JSP安全开发之XSS漏洞详解
10-21
7. **代码审查**:定期进行代码审查,检查可能的XSS漏洞,并确保所有用户输入都经过了适当的安全处理。 8. **安全编码最佳实践**:遵循安全编码原则,例如,避免在HTML动态生成JavaScript,而是将其放在外部文件...
XSS漏洞修复方案
chitun2903的博客
08-13 3775
基本概念及解决办法 比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义 1、增加过滤器XssFilter.java public class XssFilter implements Filter { F...
xss漏洞jar.rar
09-29
跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 或者当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。 可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
Java代码漏洞检测-常见漏洞修复建议
dzqxwzoe的博客
05-29 2175
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
XSS漏洞定位和修复方法——htmlspecialchars() 函数
12-01 2236
安全测试】XSS漏洞定位和修复方法——htmlspecialchars() 函数 上一篇 / 下一篇  2011-08-25 18:49:11 / 个人分类:安全测试 测试的XXX的版本,扫描器扫描出一个威胁的XSS漏洞,对BUG定位和解决消耗了一定的时间,在咨询过安全测试组的同学后,终于弄清楚了解决的方法,现在根据结果倒推回来,有利于指导测试和帮助开同学定位类似的问题,所
Java 防御XSS攻击实战与示例代码
oscar999的专栏
01-08 1670
本篇介绍在Java 项目如何快速修复XSS 漏洞。本篇使用的是黑名单的方式, 对于非法字符进行转义。 黑名单的方式虽然不能完全的解决XSS漏洞, 但是能有效的减轻攻击, 对于使用类似Coverity等代码静态扫描攻击扫描的漏洞修复之后就不会再报相关的警报了。
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3416
Java利用拦截器处理XSS漏洞 当应用程序的新网页包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
java修复xss漏洞
weixin_43876557的博客
07-29 3129
JAVA修复XSS漏洞 方案一: 对于请求是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
Java编码安全漏洞之:跨站
weixin_34378045的博客
03-21 2921
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值