我已经能够通过在bean中写入filter =“true”的组合来防止struts 1.2中的XSS攻击,并且通过在标记中使用StringEscapeUtils.escapeHtml4(string)我正在使用的库。不过,我可以通过以下形式的URL攻击我的网站...Struts XSS预防 - 防止GET XSS
www.mysite.com/App/Start.do?logo=mylogo'><script>alert("ATTACK")</script>
任何有关防止此问题的最佳方法的建议。我尝试使用servlet过滤器,但我不想将所有请求输入转换为特殊字符。
感谢您的回应,我正在专门讨论URL,以防止用户点击上面的URL。或拦截所有GET请求并清除这些请求 –
为什么URL包含XSS时不重要,URL不会被解析为HTML。所以它不会影响你的网站。这完全是一个美学问题? – Robadob
我可以将JavaScript插入到一旦URL被击中后执行的URL中。 –