0
在我的Java應用程序中,我正在阻止XSS攻擊。我想在我有句柄的HttpServletRequest對象中編碼URL和隱藏字段參數。HttpServletRequest - 快速編碼URL和隱藏字段參數的方法
我該怎麼做呢?
A
回答
1
不要那樣做。你讓它變得更加複雜。只在顯示過程中逃脫它。看到我的答案在您的其他主題:Java 5 HTML escaping To Prevent XSS
1
要在HTML頁面上正確顯示用戶輸入的數據,您只需確保通過String#replace或類似的方式將任何特殊的HTML字符正確編碼爲實體。好消息是,很少有你需要編碼(用於此目的):
str = str.replace("&", "&").replace("<", "<");
您也可以替換>如果你喜歡,但沒有必要。
這不僅僅是因爲XSS,而且也是爲了讓角色正確顯示。您可能還想要確保將常用拉丁集之外的字符轉換爲適當的實體,以防止字符集問題(UTF-8與Windows-1252等)的出現。
+0
你也需要''',否則屬性中的內容將不安全。 – Kornel 2010-12-11 23:40:13
+0
@porneL:只有當輸出的問題是作爲屬性值輸出時,並且只有當你使用雙引號才能引用屬性(HTML允許使用單引號或雙引號引用屬性)。 – 2010-12-11 23:46:08
0
您可以使用StringEscapeUtils從庫中的Apache Jakarta Commons Lang中
http://www.jdocs.com/lang/2.1/org/apache/commons/lang/StringEscapeUtils.html
相關問題
- 1. 以快速編程方式隱藏TextFields?
- 2. RNG隱藏字段參數
- 3. 隱藏URL參數
- 4. 通過response.sendRedirect方法發送url時隱藏url中的參數
- 5. 隱藏參數URL(jQuery和Grails的)
- 6. 傳遞參數POST方法沒有隱藏字段asp.net
- 7. 隱藏SSRS中的字段/參數
- 8. ASP.NET - 參數的隱藏字段
- 9. 從代碼隱藏到隱藏字段
- 10. 隱藏段URL,但給代碼訪問隱藏段
- 11. 隱藏URL參數和閱讀
- 12. 隱藏引用URL參數
- 13. 從URL隱藏GET參數
- 14. 在vba中隱藏行的更快速的方法
- 15. 使用javascript將url參數傳遞給隱藏字段
- 16. 如何從URL或隱藏字段獲取參數
- 17. 參數'角度'隱藏字段'float Utils.Transform.float'
- 18. 驗證碼和隱藏字段
- 19. 的preg_replace和隱藏字符或隱藏編碼
- 20. 隱藏密碼字段
- 21. 如何以編程方式隱藏Zend_Element_Checkbox的字段和標籤?
- 22. 隱藏URL參數ASPX /重寫URL
- 23. 使用POST方法來隱藏URL參數
- 24. URL設計:方法來隱藏URL
- 25. 更快的方法來隱藏空行
- 26. Phpbrowser和隱藏字段
- 27. JQuery和隱藏字段
- 28. woocommerce_form_field和隱藏字段
- 29. 更快速的方法來執行方法參數檢查
- 30. Vim快速修改方法參數的方法
你能澄清你的問題嗎?將它們編碼爲什麼? – 2010-02-23 15:33:17
我想編碼它們以便在HTML頁面中安全顯示字符轉義 – AJM 2010-02-23 15:35:44