XSS过滤器和富文本编辑器的矛盾

哎哎哎哎啊 发布于 2013/05/07 14:53
阅读 3K+
收藏 0
    琢磨了一段时间最终决定采用设置全局过滤器的方式来过滤XSS攻击脚本代码,继承了HttpServletRequestWrapper重写了get之类的方法,最后貌似是成功了,但是问题出现了,就是如果内容是使用富文本编辑器来进行操作的对于这样的内容它也进行过滤了,结果导致这样的内容在页面中无法显示了,所以弱弱的觉得这种全局控制方式是不是行不通,但是不使用这种全局模式,岂不是要对无论是get还是post提交的参数都进行XSS脚本检查?表单提交的还好说,后台必定要做验证,但是如果只是一个普通的带参数get,也要做检查?是的话,那工作量有多大啊,请问一下各位是怎么解决的?
加载中
0
景愿
景愿

1.分类别进行统一过滤,也可以按照目录来分,但都是同一个第一个地方进行过滤

2.反向处理,对所有的请求都过滤,除了富文本,那你就可以在富文本提交的时候做文章,怎么让它不被处理

3.就是你说的本方法,做判断!

0
b
biboya
有点问题
0
b
beyond2013

<script>alert('hello');</script> hello

0
fancy612215
fancy612215
<script>alert('hello');</script>
0
b
buexplain
<script>alert('hello');</script>
0
b
buexplain

&lt;script&gt;alert(&#39;hello1&#39;);&lt;/script&gt;
&amp;lt;script&amp;gt;alert(&#39;hello2&#39;);&amp;lt;/script&amp;gt;
<script>alert('hello3');</script>


0
b
buexplain
    &lt;script&gt;alert(&#39;hello1&#39;);&lt;/script&gt;
    &amp;lt;script&amp;gt;alert(&#39;hello2&#39;);&amp;lt;/script&amp;gt;
    <script>alert('hello3');</script>
返回顶部
顶部