最近,公司对原有政府网站项目进行了XSS漏洞扫描和修复。自己也参与其中,感触颇深啊。
原来的项目对所有的提交的请求中的参数,做了客户端的javascript验证和服务器端的Struts的Validation验证,但是还是不能应对那些黑客的跨站式攻击。不得不自己新写了一个Checkvalidator类,对所有在**-validation.xml文件中注册验证的字段进行验证。这个已经真实上线使用,希望各位大大提出指正意见。
相关代码如下:
public class Checkvalidator extends FieldValidatorSupport {
private static String expression = "<script>";
public void validate(Object object) throws ValidationException {
String fieldName = getFieldName();
String value = (String) getFieldValue(fieldName, object);
//System.out.println("[validator!]" + fieldName);
if (value == null || value.trim().length() == 0) { return; }
if (value.indexOf(expression)>=0) { addFieldError(fieldName, object); }
}
}
validators.xml文件中添加如下
<validator name="check" class="validator.Checkvalidator"/>
**-validation.xml
<field name="欲验证的字段">
<field-validator type="check">
<message>字段含有非法字符!</message>
</field-validator>
</field>
分享到:
相关推荐
过滤和限制输入的办法是一种非常重要的防御JavaScript跨站攻击手段,但它对采用邮件方式的攻击还是无能为力.因为URL参数直接放在邮件中。针对这种情况.如果我们用ASP.解决起来相对说来要容易得多。只要对动态生成...
Exokit是一个开源的跨平台JavaScript引擎,主要用于构建虚拟现实(VR)和增强现实(AR)应用程序。Exokit基于WebXR标准,提供了一个跨平台的JavaScript运行时环境,使开发者能够使用Web技术(如HTML、CSS和...
javascript 编写跨浏览器的javascript兼容写法 js兼容
JavaScript跨页传值有多种策略,从简单的URL查询参数到复杂的Web Storage和消息通信,开发者可以根据实际需求选择合适的方法。在选择过程中,应考虑数据的类型、安全性、存储限制以及性能等因素。在处理敏感数据时,...
"跨浏览器JavaScript时间日期组件"是一个专门针对这一需求设计的工具,它旨在提供一致且兼容性良好的时间日期选择功能,无论用户使用的是哪个浏览器。"My97DatePicker"就是这样一个例子,它被广泛使用并受到好评。 ...
JavaScript,jQuery Mobile和Node.js是现代网页开发中的关键技术,它们各自扮演着不同的角色,而将它们结合起来可以创建出强大的、跨平台的网页应用。在这个项目中,我们看到这三个技术的融合,为开发者提供了从桌面...
### 跨站脚本攻击与字符过滤技术解析 #### 一、引言 随着互联网的飞速发展,网站已经成为人们日常生活中不可或缺的一部分。然而,在享受便捷的同时,我们也面临着各种网络安全威胁,其中“跨站脚本攻击”(Cross-...
在实际应用中,需要注意跨frame通信的安全问题。由于跨域限制,`postMessage()`只能在同源策略允许的情况下工作。同时,为防止恶意脚本注入,接收方需要验证发送方的源(`event.origin`)。 性能方面,频繁的跨...
7. **安全最佳实践**:书中讨论了JavaScript的安全问题,如跨站脚本攻击(XSS)和跨站请求伪造(CSRF),并提供了解决这些问题的方法。 8. **DOM操作**:JavaScript与HTML的交互主要通过DOM(Document Object Model...
本资源"JavaScript_跨平台React UI包.zip"正是针对这一趋势,提供了一套基于JavaScript的跨平台用户界面解决方案。 React是Facebook推出的一个开源JavaScript库,专门用于构建用户界面,特别是单页应用程序(SPA)...
JavaScript开发小微企业跨组织人才管理系统前端源码。后端在另一个资源里面。使用说明 下载本源码后,直接导入到你的idea中,推荐使用webStrom。 另外需要使用者自己下载npm包和初始化node_model. 当初始完项目后,...
本项目是基于JavaScript开发的跨平台设计源码,包含847个文件,其中包括184个JPG图像文件、147个Java源代码文件、115个JavaScript脚本文件、75个Class文件、60个PNG图像文件、53个CSS样式表文件、49个HTML页面文件、...
在JavaScript编程领域,编写跨浏览器代码是一项至关重要的技能。由于不同的浏览器对JavaScript的支持程度和实现方式存在差异,因此,为了确保程序在各种浏览器环境中都能正常运行,开发者需要掌握一些核心策略和技巧...
使用JavaScript和Cocos2d-x引擎可以让我们快速开发出跨平台的棋牌游戏,但也需要注意性能问题。Cocos2d-x引擎底层利用OpenGLES 2技术进行渲染,这是OpenGL的一个重要分支,支持硬件加速,能够提供良好的渲染效果。在...
这个名为"JavaScript跨平台网页设计配套源码.rar"的压缩包文件包含了用于跨平台网页设计的相关源代码,这对于学习JavaScript和网页设计的开发者来说是一份宝贵的资源。 1. **JavaScript基础**:JavaScript是基于...
《基于Promise的跨平台JavaScript HTTP请求库:深入解析与应用》 在当今的Web开发领域,JavaScript已经成为不可或缺的一部分,尤其在处理HTTP请求方面。随着Promise的引入,异步编程变得更加简洁和易于理解。本篇...
在Web世界里,只有JavaScript能跨平台、跨浏览器驱动网 页,与用户交互。 《JavaScript全栈教程》是小白的零基础JavaScript全栈教程。从基础入门在讲到node使用实践,感兴趣的可以下载学习,离线文件非常方面。
在SDCC2013中国软件开发者大会上,月影分享了关于JavaScript跨平台游戏开发的实践经验。作为360高级技术经理以及奇舞团的负责人,他对于如何使用JavaScript和Html5进行游戏开发有着深入的理解和丰富的实践经验。接...
xss 跨站脚本攻击汇总 xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的...