跨站攻击的解决方法

方法一:

对输入参数进行校验,<>等特殊字符不允许输入.

方法二:

对输入参数输出在页面前就使用以下标签进行转义特殊字符:

ATG 标签库:

< dsp:valueof param = "boldCode" valueishtml = "true" />

JSTL 标签库:

< c:out value = "${boldCode}" escapeXml = "false" />;

Struts 标签库:

< s:property value = "html" escape = "false" />

commons-lang:

StringEscapeUtils.escapeHtml( "<script>aaaa</script>" );

方法三:

在Nginx上加入以下代码:

           set 
            $block_common_exploits 
           0
           ;
          
           if 
            ($query_string ~ 
           "(<|<).*script.*(>|>)"
           ) {
          
           set
           $block_common_exploits 
           1
           ;
          
           }
          
           if 
            ($query_string ~ 
           "href="
           ) {
          
           set
           $block_common_exploits 
           1
           ;
          
           }
          
           if 
            ($block_common_exploits 
           = 
            1
           ) {
          
           return
           403
           ;
          
           }

方法四:

在web容器中写个Filter.