jsp页面中的跨站脚本漏洞修复
2018-01-13 13:54
447 查看
jsp页面中的跨站脚本漏洞修复
博客分类: JSPjs跨站漏洞脚本攻击JSP
最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!
请求链接:
Java代码
http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>
参数过滤:
Java代码
String successUrl =request.getParameter("successUrl");
if(StringUtil.isNotNull(successUrl)){
successUrl = successUrl.replaceAll("<","")//匹配尖括号
.replaceAll(">","")//匹配尖括号
.replaceAll("\"","")//匹配双引号
.replaceAll("\'","")//匹配单引号
.replaceAll("\\(.*?\\)","")//匹配左右括号
.replaceAll("[+]","");//匹配加号
}
JSP中使用该参数:
Java代码
<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
这便是一个完整的过程,希望对大家有所帮助。
相关文章推荐
- asp 网站 XSS跨站脚本漏洞如何修复
- XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击
- WordPress Plupload插件未明跨站脚本漏洞
- Mozilla FireFox 爆JAR URI处理跨站脚本漏洞 可偷窃Google帐户
- WordPress Audio Player插件跨站脚本漏洞
- 跨站脚本执行漏洞利用技巧两则
- WordPress Bradesco Gateway插件‘falha.php’跨站脚本漏洞
- 测试Web应用程序是否存在跨站点脚本漏洞
- 解决“Internet Explorer已对此页面进行了修改,已帮助阻止跨站点脚本。”的“问题”
- Jsp万能密码漏洞修复例子
- 测试Web应用程序是否存在跨站点脚本漏洞
- jsp页面 动态显示时间 脚本
- 编写Java无脚本的JSP页面
- WordPress WP-Table Reloaded模块跨站脚本漏洞
- [原创]Yeepay网站安全测试漏洞之跨站脚本注入
- XSS漏洞(跨站脚本)
- 跨站脚本执行漏洞详解
- WordPress WP-Table Reloaded插件 ‘id’参数跨站脚本漏洞
- WordPress BuddyPress Extended Friendship Request插件跨站脚本漏洞
- 测试Web应用程序是否存在跨站点脚本漏洞(-)