我记录

防止 XSS 攻击

掷鸡蛋者 发布于 2015/9/20 21:23 浏览: 816 回复: 0 所在分类:java

防止 XSS 攻击

XSS=cross site scripting 跨站点脚本攻击

1、自动过滤:所有提交内容

增加 wojilu.web.xss.HtmlRequest

然后 web.xml 配置

    <filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>wojilu.web.xss.XssFilter</filter-class>

    </filter>


    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

2、白名单使用了 jsoup 第三方库

        <!--jsoup=>xss whitelist-->

        <dependency>

            <groupId>org.jsoup</groupId>

            <artifactId>jsoup</artifactId>

            <version>1.8.2</version>

        </dependency>

3、使用

1)基本使用(彻底过滤标签)

        String title = request.getParameter("txtTitle");

        String body = request.getParameter("txtBody");

2)获取 html 标签(基于 jsoup 白名单过滤)

        String htmlContent = ((HtmlRequest) request).getParameterHtml("htmlContent");

3)获取所有 html 内容(不过滤,非常危险,不推荐)

        String htmlContent = ((HtmlRequest) request).getParameterHtmlAll("htmlContent");


掷鸡蛋者2015/9/20 21:23

留下脚印

踩一脚
copyright © 用微博记录这个时代 2010-2014
Powered by 我记录2.0
Processed in 0 seconds, 0 queries