我寫了一個Filter
以下是代碼。檢查模式以避免XSS攻擊
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain)
throws IOException, ServletException {
HttpServletRequest srequest = (HttpServletRequest) request;
HttpServletResponse sresponse = (HttpServletResponse) response;
String url = srequest.getRequestURI();
if(url.contains("//What patterns to be checked here?"))
{
//Invalidate the Session
//Redirect to error page
}
我正在讀取形成的URL並且想要避免XSS
攻擊。所以,我想在URL中檢查任何可能表明可能導致XSS
攻擊的模式。
我可以獲得我可以在此查看的所有模式的綜合列表嗎? 例如,
url.contains("<script>");
相關:http://stackoverflow.com/questions/7722159/csrf-xss-and-sql-injection-attack-prevention-in-jsf/7725675#7725675此過濾器嘗試是荒謬的。只是不要那樣做。只顯示用戶控制的輸入HTML轉義(默認情況下JSF已經這樣做)。 – BalusC
@BalusC +1爲您的答案。謝謝BalusC –