加强三农网站建设的意义,一起做网店17普宁,市场调研报告怎么写,小网站建设公司排名跨站点脚本(xss)如OWASP网站#xff08;https://www.owasp.org/index.php/Cross-site_Scripting_(XSS#xff09;#xff09;所述#xff0c;跨站点脚本#xff08;XSS#xff09;攻击的变种几乎是无限的。 在这里#xff0c;我建议使用基于Servlet筛选器的解决方案来清… 跨站点脚本(xss) 如OWASP网站https://www.owasp.org/index.php/Cross-site_Scripting_(XSS所述跨站点脚本XSS攻击的变种几乎是无限的。 在这里我建议使用基于Servlet筛选器的解决方案来清理HTTP请求。 攻击 让我们看看XSS攻击如何表现出来。 附件是一个过于简化的portlet它显示了一个场景该场景在论坛等基于社交和协作的系统中非常常见。 参见下面的伪序列图。 在这里1.有一个可用的表单用户可以在其中输入带有提交按钮和名为“ mytext”的文本框的评论。 用户A呈现此表单。 2.用户A在输入文本框中输入一个Java脚本并提交表单这是邪恶输入您的应用程序的步骤。 只是为了让您看到问题所在 假设用户输入的脚本将应用程序存储的cookie发送到攻击者的站点。 3.用户B登录到系统他想查看用户A提供的注释。因此他转到相应页面系统在其中呈现A提供的“ mytext”的值。4.浏览器呈现“ mytext”的值即一个Java脚本它获取为用户B存储的当前站点的所有cookie并将其发送到Attackers系统。 预防措施总比治愈更好我们将看到清除HTTP参数如何帮助阻止这种攻击。 为了使这次攻击成功当B提供A的评论时将向浏览器发送什么样的响应 就像是 - divAs Comments/div
div
script
!--
This script will get all cookies and will send them to attackers site.
--
/script
/div 如您所见这种攻击之所以可能是因为对于浏览器来说HTML文档是标记和可执行代码的混合体。 混合可执行代码和标记的能力是攻击者可以利用的致命组合。 使用Servlet过滤器我们可以清除所有输入参数并删除所有可以表示浏览器可执行指令的特殊字符。 这样没有邪恶进入系统。 这是执行此操作的非常简单的Servlet过滤器。 使用HttpServletRequest上的包装器并且转义后重写方法以返回请求参数值。 为了逃避我建议使用Apache Commons项目的StringEscapeUtils而不要进行一些自定义编码。 另一种方法是让用户输入他们想要的任何东西但在渲染时将“转换为其相应的字符实体代码。 通常这可以通过使用JSTL来完成– divAs comments/div
div
c:out value${comments} escapeXmltrue /
/div 当用户可以彼此共享代码片段时此方法特别有用。 基于用户与系统之间的交互可以设计出许多其他巧妙的方式来发起XSS攻击。 但是绝对控制系统输入将肯定可以再次防御此类攻击。 参考 XSS和预防我们JCG伙伴 Advait特里维迪在CoolCode博客。 翻译自: https://www.javacodegeeks.com/2012/08/cross-site-scripting-xss-and-prevention.html跨站点脚本(xss)
