XSS转码 && struts2 property标签的bug

struts2：

<s:property value="name" escape="false"/>

EL表达式：

jsp 2.0中的 ${todo.description}是不能防止xss的，如果输入脚本就可能导致xss攻击。
解决方法：
这种表达式只能用作tag的属性，而不能显示，
使用<c:out value="${todo.description}"/>就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)}
如果想不escape,使用<c:out value="${todo.description}" escapeXml="false"/>

　　

原文链接：http://blog.csdn.net/d8111/article/details/45249805

一。了解背景

下面两张图，比较html转义和js的转义。

一定要区分清楚的是，内容回写页面，一定要做的是JS转义！！而不仅仅是html转义





从上面两张图可以看出，js里面需要转义到的 单引号'，反斜杠\ 均不在html转义字符之列！（如果针对XSS的话，只要对

<

>

'

"）

二。<s:property value="xx"/>的稀烂之处

1.这个标签默认是带了html转义的，即完全等同于<s:property value="name" escape="true"/>

2.正确XSS防范做法，应该是后台转义后存储，也就是说存到DB里面的数据，就应该是处理过的！（这里的转义是html&js的综合体）：

[java] view plaincopy

map.put('<', "<");

map.put('>', ">");

map.put('\'', "'");

map.put('\"', """);

map.put('&', "&");

在DB层无sql注入防范的时候，甚至需要是三位一体！

拿上面那个例子来说，用户输入name，DB应该存储下面的内容

[java] view plaincopy

<script>alert('xss')</script>

但是很不幸，这串字符使用s:property直接输出到页面上，会因为&符号又会促发一次html escape，导致显示问题



这里就只能继续恶心一把了，每个标签写上：<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)

三。严防死守

1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理，其本质需要注意，基于Char的过滤

看看源代码应该很容易理解

[java] view plaincopy

StringBuffer escaped = new StringBuffer(input.length() * 2);

for (int i = 0; i < input.length(); ++i) {

char character = input.charAt(i);

String reference = characterEntityReferences.convertToReference(character);

if (reference != null) {

escaped.append(reference);

}

else {

escaped.append(character);

}

a.使用String.replace(xx)的方式是搞不定的。举例来说，字符j的表示方式有下面15种之多：

[java] view plaincopy

\6A\06A\006A\0006A\00006A //java形式的16进制编码

jjjjj //十 进制编码

jjjjj //十 六进制编码

b.使用html的过滤方式也是99% OK的，但是像mhtml这样的漏洞，还需要过滤%0d%0a

c.指望过滤<>,过滤scrpit串这些明文，也是靠不住的。

附件是查资料找到的文档，包括：强烈建议一睹为快

1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理（转）

2.Ajax hacking with XSS

介绍了诸如此类的注入方式，属于眼界开阔篇

[html] view plaincopy

<img src="javascript:alert('XSS');">示例：

<img src="javascript:alert('XSS');"> //10进制转码 如图三

[html] view plaincopy

<img style="xss:expr/*XSS*/ession([code])"> //css的注释符号 为/**/，其中的内容会被忽略

　　<style>@im\port'\ja\vasc\ript:alert("XSS")';</style> //css中忽略的符号还有“\”

~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~

p.s.

1.用Jquery的text()取"<script>alert('xss')</script>"，会被直接读成<script>alert('xss')</script> 。

2. 这个串如果直接使用$("#xxyy").html()输出，会产生alert框。

3.正确的做法是使用innerHTML函数，可以避免字符串中js被执行：document.getElementById("xxyy").innerHTML=