如何防止JSP / Servlet Web应用程序中的XSS攻击?
当(重新)显示用户控制的输入时,可以通过使用JSTL <c:out>
标签或fn:escapeXml()EL
函数在JSP中防止XSS 。这包括请求参数,标头,cookie,URL,正文等。从请求对象中提取的所有内容。同样,在重新显示期间,也需要转义存储在数据库中的先前请求的用户控制输入。
例如:
<p><c:out value="${bean.userControlledValue}"></p>
<p><input name="foo" value="${fn:escapeXml(param.foo)}"></p>
这将逃脱这可能malform
渲染HTML
,如人物<,>
,”,’和&成HTML / XML实体,如<
;,>
;,"
;,'
和&
;。
注意,你不需要在Java(Servlet)代码中对其进行转义,因为它们在那儿是无害的。有些人可能会选择在逃避他们的请求处理(如你在Servlet或者过滤器一样),而不是响应处理(如你在JSP做),但这种方式,你可能会冒这个险的数据不必要获得双重逸出(如&变&amp;
的,而不是&
;和最终,最终用户会看到&
出现),或者数据库存储的数据变得不可移植(例如,将数据导出到JSON,CSV,XLS,PDF等完全不需要转义HTML的数据时)。你还将失去社交控制权,因为你不再知道用户实际填写了什么。作为站点管理员,你真的很想知道哪些用户/ IP正在尝试执行XSS,以便你可以轻松跟踪他们并采取相应的行动。仅在你确实需要在尽可能短的时间内修复开发不良的旧版Web应用程序的残骸时,才应将请求处理期间的转义用作最新手段。不过,你最终应该重写JSP文件以使其成为XSS安全的。
如果你想重新显示用户控制输入为HTML,其中你想只允许HTML标签,如的特定子集<b>,<i>,<u>
,等等,那么你需要通过一个白名单来净化输入。你可以为此使用HTML解析器,例如Jsoup。但是,最好引入一种人类友好的标记语言,例如Markdown(也在Stack Overflow中使用)。然后,你可以为此使用Markdown解析器(如CommonMark)。它还具有内置的HTML清理功能。另请参见我正在寻找Java HTML编码器。
服务器端与数据库有关的唯一问题是防止SQL注入。你需要确保不要在SQL或JPQL查询中直接对用户控制的输入进行字符串连接,并且要始终使用参数化查询。用JDBC术语,这意味着你应该使用PreparedStatement
而不是Statement
。在JPA术语中,使用Query。
问题内容: 有一个Node.js项目用于清理数据,还有一个用于JavaScript的OWASP库,用于处理清理过程以防止XSS。 我一直在对这些库进行基准测试,它们非常密集,也许是一个过大的杀伤力,我的应用程序不需要任何动态HTML(由用户,bbtags提交,甚至根本不需要,都不需要),所以为什么不这样做呢: 禁用“ ”和“ ”字符,不要替换它们或其他任何东西,只需禁用它们,如果用户提交了这些,则
以下是原代码 在相同的Jsp中 我做了一些修改,在lib中包括esapi-2.1.0.jar,在类路径中包括esapi.properties,validation.properties。然后对scriplet代码进行以下更改以修复上面的代码
码头打开了,但它显示了。 从我的Eclipse控制台 2012年4月15日下午3:50:38 com . Google . app hosting . utils . jetty . JettyLogger INFO INFO:通过com . Google . app hosting . utils . jetty . jetty logger登录到jetty logger(空)在未来的版本中,这
我需要能够预览EML文件在一个基于Angular/.NET核心API构建的web应用程序。我在这里找到了microsoft提供的仅预览Word、Excel或PowerPoint文档的服务。我可以在web应用程序中嵌入这个页面并预览这些文件类型。但是,此服务不支持EML文件。 还有一个通过encryptomatic提供的在线预览EML文件的服务。但它们没有可以嵌入到应用程序中的东西。 Google
我有一个单页应用程序,其中包含敏感内容,需要保护。这个问题是针对 XSS 和 CSRF 攻击的。 解释:已经建议在很多地方,例如这里在存储身份验证令牌时在 localStorage 之上使用 cookie。在回答这里的另一个问题时也提供了一个非常好的解释。 基于这些回答,对于受保护的内容,建议使用带有‘http only’和‘secure’选项的cookies,以避免XSS;并且自己实现CSRF保
我们有一个应用程序,利用在应用程序计费。我们看到的问题如下: 当使用较高版本代码的构建被上传到Play Developer控制台时,In App Billing将停止在设备上的应用程序(使用较低版本代码)上工作,表示“应用程序未配置为计费”。 这很好,在测试的时候,但问题是--当应用程序在Google Play商店中时,会有什么行为?当您替换应用程序(以执行更新)时,处于野生状态(具有较低版本代码