EscapeHTML

web漏洞之xss(学习记录)

僤鯓⒐⒋嵵緔 提交于 2019-11-30 03:35:34
xss又名跨站脚本攻击,是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。 常见的危害有:cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 解决办法: 1.更新较高版本的jQuery 2.过滤关键字,同时注意header,host(建议正则),转义字符,如“<”转义字符是&lt;"<"的转义字符为&gt; ,也可以使用org.apache.commons.lang.StringEscapeUtils.escapeHtml(str)来转义。缺点是入库时候,它的长度要比请求时候的长度要长。注意某些场景下,可能需要将其进行反转义。 3.前后端同时判断正误,限制请求数据。 (做记录学习用) 来源: https://my.oschina.net/zfblog/blog/3108273