零度的博客专栏

一、概述       Cross-site scripting(CSS or XSS)跨站脚本不像其他攻击只包含两个部分：攻击者和web站点，跨站脚本包含三个部分：攻击者，客户和web站点。跨站脚本攻击的目的是窃取客户的cookies，或者其他可以证明用户身份的敏感信息。 二、XSS攻击原理一个get请求： GET /welcome.cgi?name=Joe%20Hacker

我们来专门探讨如何防范来自内部的XSS攻击，XSS攻击主要的攻击手段无外乎是发送了一段恶意脚本到受害者机器上去运行，所以我们的思路就是，如何让这段脚本失效。        因为脚本的组成部分是和，而这其中最主要的是大于号和小于号字符，所以我们只要在请求中，把大于号字符，小于号字符处理下，让其没办法通过 Http发送到受害者机器上，当然就没办法在受害者机器上组成一段恶意脚本了。但是如果我们的

像标题所说的，虽然在在JEE开发中并不常见，但也不是没有需要。比如知名的页面装饰框架sitemesh，就是利用filter过滤器先截获返回给客户端的页面，然后分析html代码并最终装饰页面效果后返回给客户端。我这里也先简单的说下如何来自己编程实现，然后说一个我遇到的问题，应该也是大家会遇到但很难找到原因的问题。      要截获页面返回的内容，整体的思路是先把原始返回的页面内容写入到一个字

XSS：跨站脚本（Cross-site scripting）      CSRF：跨站请求伪造（Cross-site request forgery）       在那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代， 参数化查询 已经成了普遍用法，我们已经离  SQL 注入很远了。但是，历史同样悠久的 XSS

CSRF 背景与介绍        CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患，比如 SQL 脚本注入，跨站域脚本攻击等在近年来已经逐渐为众人熟知，很多网站也都针对他们进行了防御。然而，对于大多数人来说，CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gma