XSS攻击的特点就是通过对HTTP参数内容进行特殊的编写,达到获取信息、执行命令的目的。
举一个简单的例子,假如你有一个登录页面,在登录后在页面上显示用户的用户名。代码片段如下:
request.setAttribute("username", username);
登录后显示的JSP页面片段:
当前登录用户: <span>${username}</span>
正常的情况下,这个功能会工作的很好,不会有什么问题。但是如果遇到别有用心的人,那么结果将会很不一样。比如,在浏览器中输入URL如下:http://%host%:%ip%/XX/login?username=<script>alert('黑客!!!')</script>
那么结果将不会是你期望的在页面上看到登录用户的名称,而是弹出一个提示框显示“黑客!!!”,这就是一个典型的跨站脚本攻击。
解决办法就是使用
${param.userName}
输出参数。
一般情况下,上述方法就搞定了。不过这里列出我遇到的两种特殊的情况。重点来了
1、页面中被注释的内容含有接收的参数。
URL如下: http://%host%:%ip%/XX/view?Id=1&type=manage*/alert('黑客!!!');/*
jsp代码片段:
/* $("#search-btn").click(function(){
window.location="../link?type=${param.type}&Id=${param.Id}";
}); */
而此时解析出来的html代码为:
/* $("#search-btn").click(function(){
window.location="../link?type=manage*/alert('黑客!!!');/*&Id=1";
}); */
访问上面URL就是弹出提示框显示“黑客!!!”。
所以要去掉页面中不必要的注释,尤其的含有输入参数的注释。
2、页面中直接使用接收的参数。如:参数放入括号中
URL如下:http://%host%:%ip%/XX/view?Id=3&type=manage&node=79777);alert("黑客!!!");%2f%2f
jsp代码片段:
<pre name="code" class="html">var proxy = Handler.getProxyByNode(${param.node});
而此时解析出来的html代码为:
var proxy = Handler.getProxyByNode(79777);alert("黑客!!!");//);
访问上面URL就是弹出提示框显示“黑客!!!”。
所以要避免这样直接使用接收的参数。而应该用下面方法:
var node = '${param.node}';
var proxy = Handler.getProxyByNode(node);