jfinal以blogDemo为例子,怎么处理xss插入问题

EugeneQiu 发布于 2013/07/29 11:02
阅读 1K+
收藏 1

 jfinal以那个blogDemo为例子,怎么处理xss插入问题,是手动添加多一个拦截器么?还是怎样?

对输入进行拦截校验的话,复用性又会很差。

用xss插入语句插入到blog.title 里面,能实现弹窗,求解决思路。


菜鸟刚接触xss问题,希望前辈们赐教.


加载中
2
Jieven
Jieven

解决存储型XSS
入口:添加全局拦截,过滤所有用户输入提交的值(过滤 Post Get 提交内容)
出口:全局 sql insert 过滤


解决反射型XSS
禁用URL篡改,例如URL签名

Jieven
Jieven
补充一句:出口还有 update
Jieven
Jieven
回复 @红星xx : 至于JFinal怎么进行全局拦截,我没有亲自实现过,但是总体思路,JF里面只有拦截器和Handler,这两个肯定能实现,多研究研究,不懂再问波总或者群里面的大牛!
Jieven
Jieven
回复 @红星xx : 想完全过滤XSS,就需要深入学习XSS相关的知识,掌握入侵者常用绕过手法,然后屏蔽之,这是一门博大精深的学问,百度,新浪都不能避免!道高一尺,魔高一丈!
红星xx
红星xx
请教 ,使用JFinal 怎么进行拦截过滤呢? 过滤后的参数怎么进行验证呢 。正在被这个问题困扰。
EugeneQiu
EugeneQiu
非常感谢
0
进击的代码
进击的代码
显然对用户输入值进行过滤和编码是不合适的,因为用户输入的值会在其他地方使用,你组了html编码的话,内容会改变,最根本的方法是在输出的时候对内容做html编码,刚好freemarker的StringUtils里面有个htmlencoding,这个看个人喜好了,owasp 的esapi就免了吧,搞一大堆东东在里面,研究过但是不喜欢使用
0
jeff-dou
jeff-dou
<script>alert(111111)</script>
返回顶部
顶部