`
cywhoyi
  • 浏览: 420162 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

Cross Site Scripting (XSS) and prevention

阅读更多

众多的XSS攻击冲击到我们的互联网环境,本篇文章想要通过filter的解决方案处理XSS攻击。

先来看下XSS是如何攻击



 预防最好的方式是能够清理请求恶意的参数,如果评论如下方式

<div>A's Comments</div>
<div>
<script>
<!--
This script will get all cookies and will send them to attacker's site.
-->
</script>
</div>

就如同上述的方式,确实在现实中成真,这对于一个HTML文档是可以markup的是致命的危险。如果在script中的脚本被联合执行,那么XSS攻击就被执行,可以干任何事情。我们可以通过Servlet Filter 把输入的参数和特殊符号屏蔽。

这样的处理方式确实比较简单,只需要加密我们的参数集符合系统需要的规则,又不会侵害自身内部构件。一般都是采纳StringEscapeUtils of Apache Commons project 。

另一种方式是采用JSTL能够被系统渲染,类似于<,>,&,’,” 等进行转换

<div>A's comments</div>
<div>
<c:out value="${comments}" escapeXml="true" />
</div>

 

  • 大小: 16.2 KB
分享到:
评论

相关推荐

    xss平台搭建源码,xss漏洞练习

    XSS(Cross-Site Scripting)是一种常见的网络攻击方式,主要针对Web应用程序,攻击者通过在网页上注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而获取敏感信息或者控制用户的行为。本资源提供了XSS平台的...

    看一看XSS_原来像梦一场.pdf

    XSS,全称为跨站脚本(Cross-Site Scripting),是一种常见的网络安全漏洞,攻击者通过利用网站的编程错误,将恶意脚本注入到网页中,当用户浏览这些被篡改的网页时,恶意脚本会在用户的浏览器上执行,从而对用户的...

    Pro PHP Security(Pro)

    preventing SQL injection attacks, and mitigating cross-site scripting (XSS) attempts, among others. #### Key Topics Covered in _Pro PHP Security_ 1. **Creating and Deploying CAPTCHAs**: CAPTCHAs ...

    Ajax in Action

    - Cross-site scripting (XSS) attacks and prevention. - Cross-site request forgery (CSRF) and defense mechanisms. - Secure data transmission and encryption. **Chapter 8: Performance** - **...

    java开发常用jar包之dwr.rar

    - **CSP(Cross Site Scripting Prevention)**:防止跨站脚本攻击的安全机制。 - **Batching**:批处理功能,允许一次发送多个请求,提高性能。 **3. DWR的工作流程** 1. **客户端发起请求**:JavaScript通过DWR ...

    TestAjax.rar

    - **CSP (Cross Site Scripting Prevention)**:提供了一层安全防护,防止跨站脚本攻击。 - **AutoComplete**:为输入框提供自动完成功能。 - **Echo**:用于实时显示服务器端状态,如计数器等。 3. **DWR的7个...

    todoapp_secC

    5. **跨站脚本防护(Cross-Site Scripting, XSS)**:为了避免恶意用户在应用中插入脚本,可能采用了输入过滤、输出编码或者Content Security Policy(CSP)来防止XSS攻击。 6. **输入验证(Input Validation)**:...

Global site tag (gtag.js) - Google Analytics