Java过滤XSS脚本, 可通过Appscan扫描
Java过滤XSS脚本, 可通过Appscan扫描
用户1216491
发布于 2018-01-24 16:08:39
发布于 2018-01-24 16:08:39
项目中有时会需要把一些报错或者解决方案直接返回给前端,
如果直接返回原字符串, 可能会被恶意传参来实现xss注入.
例如常规业务访问一个页面读取文件&file=sdf.cpt,
如果文件不存在, 则页面返回没有找到sdf.cpt的报错.
恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;
这时需要我们在后台对于一些报错进行去脚本话.
一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长.
1 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});1 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+索性直接采用最简单粗暴的字符串替换了, 把html实体编码,特殊字符如()<>/,例如> 编成> <编成<
这样显示起来没有问题,也不会导致用户输入的js语句被插入到输出页面而被执行.
改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.
1 private static String encodeHtml(String strInput) {
2 if (StringUtils.isEmpty(strInput)) {
3 return StringUtils.EMPTY;
4 }
5 StringBuffer builder = new StringBuffer(strInput.length() * 2);
6 CharacterIterator it = new StringCharacterIterator(strInput);
7 for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
8 if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
9 || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
10 builder.append(ch);
11 } else {
12 builder.append("&#" + (int) ch + ";");
13 }
14 }
15 return builder.toString();
16 }本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2018-01-10 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读