防范XSS跨站

Posted letmedown

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防范XSS跨站相关的知识,希望对你有一定的参考价值。

所有jsp页面输出全部使用<c:out value="{}"/> 默认就是escapeXml="true"

java中间件,<c:out />标签的功能很神奇。

1:在input=text框中输入 "/><script>alert(1);</script><input value="
2:在action中调试发现值是:"/><script>alert(1);</script><input value="
3:编辑页面回显数据是: &#034;/&gt;&lt;script&gt;alert(1);&lt;/script&gt;&lt;input value=&#034;
4:编辑保存数据,传到后台的是:"/><script>alert(1);</script><input value="
而不是 &#034;/&gt;&lt;script&gt;alert(1);&lt;/script&gt;&lt;input value=&#034;
5:数据库中是"/><script>alert(1);</script><input value="
6:所以使用c:out来做开发可以有效的避免XSS

以上是关于防范XSS跨站的主要内容,如果未能解决你的问题,请参考以下文章

防范XSS跨站

目前日向博客对xss跨站脚本注入和sql注入的防范

XSS防范

XSS攻击与防范

XSS攻击与防范

CSRF(跨站请求伪造)