我有spring应用程序。我读过关于XSS附加 我通过全球这里的答案无效 How do I prevent people from doing XSS in Spring MVC?URL中的XSS攻击
(我把在web.xml中的context-param)
但我仍做能够给予做到在URL XSS攻击在URL
https://localhost/sam/pop/viewProfile?id=/%3E%3Cscript%3Ealert%28123%29%3C/script%3E
脚本如何解决这个问题?
我认为你只需要使用模式来清除你的文章或获取参数。这是最受欢迎的黑客技巧,因为你应该记住你在服务器端做了什么。 看看这个简单的HTML模式(http://ideone.com/zJ8BGT):
import java.util.*;
import java.lang.*;
import java.io.*;
class Ideone
{
public static void main (String[] args) throws java.lang.Exception
{
String pattern = "</{0,1}\\s*(((\\w+\\s*)={0,1}(\"|'){0,1}((\\w+\\s*-*_*)*(:|;|\\)|\\()*/{0,2}(\\w*\\s*/{0,1}\\.{0,1}&*;*\\?*=*-*\\+*%*)(\"|'){0,1}))\\s*)*/{0,1}>";
String str = "<script>alert(123)</script>";
System.out.println(str.replaceAll(pattern, ""));
}
}
Downvoters评论请。 –