如何阻止黑客实行XSS攻击的教程详解
时间:2022-12-14 06:15 来源:网络整理 作者:采集插件 点击:次
小编最近收到一个同行朋友的求助说自己在做的一个项目突然收到了一份安全漏洞报告,一开始还感觉莫名其妙的,经过查询之后才发现原来是XSS攻击漏洞导致的。那么我们应该使用什么样的办法才能够防止发生被XSS攻击的情况呢?下面我们就一起来看看具体的解决方案吧! 问题描述: 在页面上有个隐藏域: 当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上。 如果此时action被用户恶意修改为:***” ”*** 此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。 解决思路: 该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下: 1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护。 2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:
XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar) 定义filter,核心的代码如下:
上面就是今天给大家分享的如何防止黑客进行XSS攻击的具体操作教程了,这个方法主要是通过对web.xml的请求进行过滤来实现的,十分的有效。不想让自己的电脑被XSS攻击的话赶紧按照上面的步骤进行操作吧!如果大家对于XSS攻击还想了解更多欢迎查看本站其他文章。 (责任编辑:admin) |
