预防XSS漏洞攻击

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhaotengfei36520/article/details/40655091

XSS攻击的特点就是通过对HTTP参数内容进行特殊的编写,达到获取信息、执行命令的目的。

举一个简单的例子,假如你有一个登录页面,在登录后在页面上显示用户的用户名。代码片段如下:   

request.setAttribute("username", username);

登录后显示的JSP页面片段:            

当前登录用户: <span>${username}</span>

正常的情况下,这个功能会工作的很好,不会有什么问题。但是如果遇到别有用心的人,那么结果将会很不一样。比如,在浏览器中输入URL如下:http://%host%:%ip%/XX/login?username=<script>alert('黑客!!!')</script>

那么结果将不会是你期望的在页面上看到登录用户的名称,而是弹出一个提示框显示“黑客!!!”,这就是一个典型的跨站脚本攻击。

解决办法就是使用 

${param.userName}
输出参数。

一般情况下,上述方法就搞定了。不过这里列出我遇到的两种特殊的情况。重点来了

1、页面中被注释的内容含有接收的参数。

URL如下:   http://%host%:%ip%/XX/view?Id=1&type=manage*/alert('黑客!!!');/*

jsp代码片段:

/* $("#search-btn").click(function(){
	window.location="../link?type=${param.type}&Id=${param.Id}";
}); */
而此时解析出来的html代码为:

/* $("#search-btn").click(function(){
	window.location="../link?type=manage*/alert('黑客!!!');/*&Id=1";
}); */
访问上面URL就是弹出提示框显示“黑客!!!”。

所以要去掉页面中不必要的注释,尤其的含有输入参数的注释。

2、页面中直接使用接收的参数。如:参数放入括号中

URL如下:http://%host%:%ip%/XX/view?Id=3&type=manage&node=79777);alert("黑客!!!");%2f%2f

jsp代码片段:

<pre name="code" class="html">var proxy = Handler.getProxyByNode(${param.node});

而此时解析出来的html代码为:
var proxy = Handler.getProxyByNode(79777);alert("黑客!!!");//);
访问上面URL就是弹出提示框显示“黑客!!!”。

所以要避免这样直接使用接收的参数。而应该用下面方法:

var node = '${param.node}';
var proxy = Handler.getProxyByNode(node);


展开阅读全文

没有更多推荐了,返回首页