0
在我的Java应用程序中,我正在阻止XSS攻击。我想在我有句柄的HttpServletRequest对象中编码URL和隐藏字段参数。HttpServletRequest - 快速编码URL和隐藏字段参数的方法
我该怎么做呢?
A
回答
1
不要那样做。你让它变得更加复杂。只在显示过程中逃脱它。看到我的答案在您的其他主题:Java 5 HTML escaping To Prevent XSS
1
要在HTML页面上正确显示用户输入的数据,您只需确保通过String#replace或类似的方式将任何特殊的HTML字符正确编码为实体。好消息是,很少有你需要编码(用于此目的):
str = str.replace("&", "&").replace("<", "<");
您也可以替换>如果你喜欢,但没有必要。
这不仅仅是因为XSS,而且也是为了让角色正确显示。您可能还想要确保将常用拉丁集之外的字符转换为适当的实体,以防止字符集问题(UTF-8与Windows-1252等)的出现。
+0
你也需要''',否则属性中的内容将不安全。 – Kornel 2010-12-11 23:40:13
+0
@porneL:只有当输出的问题是作为属性值输出时,并且只有当你使用双引号才能引用属性(HTML允许使用单引号或双引号引用属性)。 – 2010-12-11 23:46:08
0
您可以使用StringEscapeUtils从库中的Apache Jakarta Commons Lang中
http://www.jdocs.com/lang/2.1/org/apache/commons/lang/StringEscapeUtils.html
相关问题
- 1. 以快速编程方式隐藏TextFields?
- 2. RNG隐藏字段参数
- 3. 隐藏URL参数
- 4. 通过response.sendRedirect方法发送url时隐藏url中的参数
- 5. 隐藏参数URL(jQuery和Grails的)
- 6. 传递参数POST方法没有隐藏字段asp.net
- 7. 隐藏SSRS中的字段/参数
- 8. ASP.NET - 参数的隐藏字段
- 9. 从代码隐藏到隐藏字段
- 10. 隐藏段URL,但给代码访问隐藏段
- 11. 隐藏URL参数和阅读
- 12. 隐藏引用URL参数
- 13. 从URL隐藏GET参数
- 14. 在vba中隐藏行的更快速的方法
- 15. 使用javascript将url参数传递给隐藏字段
- 16. 如何从URL或隐藏字段获取参数
- 17. 参数'角度'隐藏字段'float Utils.Transform.float'
- 18. 验证码和隐藏字段
- 19. 的preg_replace和隐藏字符或隐藏编码
- 20. 隐藏密码字段
- 21. 如何以编程方式隐藏Zend_Element_Checkbox的字段和标签?
- 22. 隐藏URL参数ASPX /重写URL
- 23. 使用POST方法来隐藏URL参数
- 24. URL设计:方法来隐藏URL
- 25. 更快的方法来隐藏空行
- 26. Phpbrowser和隐藏字段
- 27. JQuery和隐藏字段
- 28. woocommerce_form_field和隐藏字段
- 29. 更快速的方法来执行方法参数检查
- 30. Vim快速修改方法参数的方法
你能澄清你的问题吗?将它们编码为什么? – 2010-02-23 15:33:17
我想编码它们以便在HTML页面中安全显示字符转义 – AJM 2010-02-23 15:35:44