IT技术互动交流平台

如何阻止黑客实行XSS攻击的教程详解

作者:whl  发布日期:2018-12-22 08:34:00
  小编最近收到一个同行朋友的求助说自己在做的一个项目突然收到了一份安全漏洞报告,一开始还感觉莫名其妙的,经过查询之后才发现原来是XSS攻击漏洞导致的。那么我们应该使用什么样的办法才能够防止发生被XSS攻击的情况呢?下面我们就一起来看看具体的解决方案吧!

  问题描述:

  在页面上有个隐藏域:

页面有个隐藏域

  当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上。

  如果此时action被用户恶意修改为:***” ”***

  此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。

  解决思路:

  该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:

  1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护。

  2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:

核心代码
核心代码

  XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)

  定义filter,核心的代码如下:

定义filter

  上面就是今天给大家分享的如何防止黑客进行XSS攻击的具体操作教程了,这个方法主要是通过对web.xml的请求进行过滤来实现的,十分的有效。不想让自己的电脑被XSS攻击的话赶紧按照上面的步骤进行操作吧!如果大家对于XSS攻击还想了解更多欢迎查看本站其他文章。

延伸阅读:

Tag标签: 阻止XSS攻击   解决XSS攻击  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规