jsp页面中的跨站脚本漏洞修复

jsp页面中的跨站脚本漏洞修复

博客分类： 

JSPjs跨站漏洞脚本攻击JSP 

最近公司负责的几个系统中老有漏洞被搜出，多少都是JSP跨站脚本漏洞攻击，总结出的原因，无外呼是在跳转到JSP的页面中带有参数，然后JSP页面接收到参数后没有对一些特殊字符进行过滤，当然，还有一些其他的情况，比如，在页面中有输入框，需要用户手动输入内容时，都有可能出现这种攻击，下面是我针对JSP页面接收参数时，对参数进行过滤处理的方法，可能不全，还请大神指点！

请求链接：

Java代码  

http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>  
 参数过滤：

Java代码  


String successUrl =request.getParameter("successUrl");  

if(StringUtil.isNotNull(successUrl)){  

    successUrl = successUrl.replaceAll("<","")//匹配尖括号  

                           .replaceAll(">","")//匹配尖括号  

                           .replaceAll("\"","")//匹配双引号  

                           .replaceAll("\'","")//匹配单引号  

                           .replaceAll("\\(.*?\\)","")//匹配左右括号  

                           .replaceAll("[+]","");//匹配加号  

}  

 JSP中使用该参数：

Java代码  


<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />  

 

 

这便是一个完整的过程，希望对大家有所帮助。