在 Java 中处理跨站点脚本 (XSS)_xss注入后端如何处理

作者：Monodyee | 2024-02-27 05:34:32

踩

xss注入后端如何处理

跨站脚本 ( XSS ) 是 Web 应用程序中的一种安全漏洞，攻击者通过某种用户输入（如输入框、URL 参数、HTML 标头等）注入恶意脚本。Web 应用程序信息的机密性、完整性和可用性。反映并存储了两个主要的跨站脚本缺陷：

反射型 XSS

来自用户请求的恶意内容显示给用户，或者在服务器响应后写入页面。例如，在下一个屏幕截图中，信用卡号字段很容易受到攻击。编号后面有一个要注入的脚本：

<script>alert('my javascript here')</script>

单击购买按钮时，将显示警报窗口：

当你有一个 String RequestParam 时，避免在没有清理的情况下处理它：

为此，OWASP Java 编码器有一个名为 forHtml 的方法：

现在，该字段打印为文本，但未执行：

有效负载是持久的。例如，在下一个屏幕截图中，您可以看到添加了一个脚本作为注释。加载页面时，脚本将作为代码的一部分执行并打印。

解决方案是在处理 RequestBody 之前对其进行清理：

现在，注释打印为文本，但不执行：

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/Monodyee/article/detail/150407