SpringMVC如何有效的防止XSS注入?

为开源贡献力量 发布于 2015/11/02 21:47
阅读 1K+
收藏 2

通过度娘找到一个方案,新增一个XSSRequestWrapper来重写request对象的getParameter方法,过滤参数中的容易引起xss漏洞的字符,但实际对于multipart-data类型的表单提交并不起作用呢。

加载中
1
山哥
山哥
XSS不需要在获取时进行过滤,你在显示时进行转义就可以了。
为开源贡献力量
为开源贡献力量
输出的时候转义,那具体怎么做
雨翔河
雨翔河
赞同
0
南湖船老大
南湖船老大
multipart-data 它已经是流了,getParameter自然是获取不到了
为开源贡献力量
为开源贡献力量
请问该怎么处理呢
0
为开源贡献力量
为开源贡献力量
那怎么解决呢,这种的不需要过滤么
0
稻草鸟人
稻草鸟人
拦截器,encode 就行
为开源贡献力量
为开源贡献力量
form表单提交的拦截器获取不到提交的内容
0
p2ng
p2ng

前几天看过几篇文章说...

commons-lang-2.5.jar
StringEscapeUtils.escapeHtml(string);
StringEscapeUtils.escapeJavaScript(string);
StringEscapeUtils.escapeSql(string);


或者spring里面的HtmlUtils.htmlEscape

都是工具类来的,试试吧。

前端,后端都拦截一下。哈哈

0
为开源贡献力量
为开源贡献力量
因为项目已经开发的差不多了,用拦截器肯定是比较简单的。如果每个地方都加一下这些htmlEscape那太麻烦力。
返回顶部
顶部