jsp页面中的跨站脚本漏洞修复 博客分类: JSP js 跨站漏洞 脚本攻击 JSP 最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到
jsp页面中的跨站脚本漏洞修复
博客分类: JSP js 跨站漏洞 脚本攻击 JSP最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!
请求链接:
Java代码- http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>
参数过滤:
Java代码- String successUrl =request.getParameter("successUrl");
- if(StringUtil.isNotNull(successUrl)){
- successUrl = successUrl.replaceAll("<","")//匹配尖括号
- .replaceAll(">","")//匹配尖括号
- .replaceAll("\"","")//匹配双引号
- .replaceAll("\'","")//匹配单引号
- .replaceAll("\\(.*?\\)","")//匹配左右括号
- .replaceAll("[+]","");//匹配加号
- }
JSP中使用该参数:
Java代码- <input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
这便是一个完整的过程,希望对大家有所帮助。