-1
如果用戶輸入javascript:alert('e');在我的應用程序的評論部分,然後在重新加載頁面時顯示警報。如何在java中驗證這些用戶輸入。如何避免XSS攻擊
A
回答
1
修復XSS攻擊的標準行業方法是對白名單中的所有應用程序輸入進行編碼。確保沒有超出預定的輸入範圍。這通常是使用掃描所有輸入的正則表達式來完成的。
此外,爲了保護您的應用程序免受反映的XSS攻擊,還應該考慮服務器端的編碼輸出。
看看ESAPI和antisamy框架提供的API來協助這項工作。
+0
我知道,我需要驗證輸入,但如何做到這一點。我需要將ESAPI jar放入我的項目中嗎? – user3592257 2015-04-02 14:18:54
+0
是的,jar需要在你的類路徑中,這樣你才能調用ESAPI API – 2015-04-02 14:20:32
0
你寫用戶輸入返回到新的頁面每次,最簡單的辦法就是逃跑的內容。
相關問題
- 1. 檢查模式以避免XSS攻擊
- 2. 如何在PHP中避免SQL注入和XSS攻擊?
- 3. 如何避免XSS攻擊的應用程序?
- 4. 如何避免使用css x:表達式的XSS攻擊?
- 5. CakePhp:避免XSS攻擊保持蛋糕的易用性
- 6. FILTER_SANITIZE_STRING是否足以避免SQL注入和XSS攻擊?
- 7. Ajax控件工具包編輯器控件 - 避免XSS攻擊
- 8. 消毒$ _GET參數,以避免XSS和其他攻擊
- 9. 如何避免rails中的BREACH攻擊?
- 10. XSS攻擊防護
- 11. 防止XSS攻擊
- 12. 防止XSS攻擊
- 13. XSS攻擊防範
- 14. 跨站點腳本攻擊(xss)攻擊
- 15. 如何保護Angular 2 SPA免受XSS攻擊?
- 16. 此代碼如何防範XSS攻擊?
- 17. jinja2如何防止XSS攻擊?
- 18. PHP:如何完全防止XSS攻擊?
- 19. 如何使用防XSS攻擊
- 20. 避免拒絕服務攻擊
- 21. Grails/Tomcat:避免拒絕服務攻擊
- 22. 防止xss攻擊/注入
- 23. XSS DOM易受攻擊
- 24. 防止Javascript和XSS攻擊
- 25. CakePHP的:防止XSS攻擊
- 26. AJAX XSS攻擊和.Net MVC
- 27. Json.Net Wrapper防止Xss攻擊
- 28. XSS在wordpress中的攻擊?
- 29. angularjs防止XSS攻擊
- 30. Meteor.js和CSRF/XSS攻擊
從這裏開始[OWASP XSS備忘單](https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet) – SubOptimal 2015-04-02 14:01:40
這個問題可能更適合http://security.stackexchange。 com/ – LittlePanda 2015-04-02 14:31:00
使用內置的轉義機制,如[](http://docs.oracle.com/javaee/5/jstl/1.1/docs/tlddocs/c/out.html)或[ ](http://docs.oracle.com/javaee/5/javaserverfaces/1.2/docs/tlddocs/h/outputText.html)來顯示您的評論。 –
VGR
2015-04-02 14:38:04