2
在我的Grails应用程序,我正在从params提取文本,并将它作为我的域名查询参数:如何防止Grails的应用XSS攻击
例子:
def color = Colors.findByName(params.colorname)
我想象有人可以拨打params.colorname参数来针对我的mysql数据库运行错误的查询。
什么是一些好的做法,以防止这样的事情?
A
回答
5
在视图中呈现可能包含XSS攻击的字段时,需要将其编码为HTML。你应该让所有包含用户输入的字段都被编码。所有的标准Grails标签都是用HTML编码的。如果您在视图中使用${},那么您可能会遇到麻烦。您需要手动将其编码为${colorname.encodeAsHTML()},或者使用类似fieldValue的标签(如果它是一个bean属性)。
您还可以在Config.groovy中设置grails.views.default.codec = "html"的全局默认编解码器。
小心双重编码,并确保您在自定义标记中将其编码为HTML。
您还引用了SQL注入攻击,它与XSS攻击不同。如果您正在编写自己的SQL或HQL并直接将用户输入内插到SQL/HQL中,那么您只会面临SQL注入的风险。这意味着要做Colors.executeQuery("from Colors where name like ?", params.colorname)而不是Colors.executeQuery("from Colors where name like $params.colorname")。
相关问题
- 1. 防止XSS攻击
- 2. 防止XSS攻击
- 3. CakePHP的:防止XSS攻击
- 4. 防止xss攻击/注入
- 5. 防止Javascript和XSS攻击
- 6. Json.Net Wrapper防止Xss攻击
- 7. angularjs防止XSS攻击
- 8. jinja2如何防止XSS攻击?
- 9. PHP:如何完全防止XSS攻击?
- 10. 防止WCF调用中的XSS攻击
- 11. 如何用SpringMVC + Jackson应用程序防止XSS攻击?
- 12. XSS攻击防护
- 13. XSS攻击防范
- 14. 防止Magento中的XSS攻击
- 15. 如何使用防XSS攻击
- 16. href安全,防止xss攻击
- 17. $ _SERVER ['REQUEST_URI'] - 防止XSS和其他攻击
- 18. 防止SQL注入和XSS攻击
- 19. 在javascript中防止xss攻击url
- 20. 防止通过URL(PHP)XSS攻击
- 21. 此代码如何防范XSS攻击?
- 22. 如何在使用window.location.toString()时防止XSS攻击
- 23. 如何使用转义防止XSS攻击?
- 24. 如何清理Java中的HTML代码以防止XSS攻击?
- 25. 在grails中防止CSRF攻击?
- 26. 如何防止XXE攻击
- 27. 如何防止在src等属性中发生XSS攻击?
- 28. 使用.htaccess预防XSS攻击
- 29. 什么是防止ASP.NET中的XSS攻击的通用方法?
- 30. 使用Javascript的CreateElement时防止XSS攻击
我相信你正在考虑[SQL注入](http://en.wikipedia.org/wiki/Sql_injection)而不是[XSS](http://en.wikipedia.org/wiki/Cross-site_scripting) ? – hsan 2013-02-28 22:09:38
Html清理插件可以帮助消除用户输入的消毒http://nimavat.me/blog/sanitize-user-input-with-html-cleaner-plugin – 2017-08-10 05:52:20