本文介绍如何通过编码输入参数和正确设置AJAX响应类型来预防XSS跨站脚本攻击,确保网页应用的安全。
需要注意两个地方:
1、页面输入参数需要编码,防止安全漏洞
String callback = rundata.getParameters().getString("callback");// 头信息
StringEscapeUtil.escapeHtml(callback)
---------------------------------
如果用户输入url是:http://www.aliexpress.com:1080/thirdparty/countryInfoAjax.htm?callback=."</script><script>alert(111);</script>12
我们又将callback输出到页面,如:'</script><script>alert(111);</script>12'({"senderIp":"10.16.24.57","name":"","code":""})
如果不编码,就会弹出一个alert窗口。
2、ajax输出头信息如下:
rundata.getResponse().setContentType("text/plain;charset=utf-8");
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
