首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
这种方法能防御xss攻击吗
发表于: 2013-6-20 12:33 3955

这种方法能防御xss攻击吗

mty 活跃值
2013-6-20 12:33
3955
公司的web项目,采用了spring+struts的框架,为了防止xss攻击,想在struts中配置一个filter,在这个filter中对请求的参数进行转码,目前只是对<和>进行了htmlencode。这样所有的请求先经过filter的过滤再继续处理,不知道这样的措施有用吗?请各位前辈多指点

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
choday
雪    币: 240
活跃值: (190)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
没用,还有"等符号 ,
2013-6-20 12:44
0
mty
雪    币: 101
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mty
3
如果加上”等特殊字符的话就没问题了吗?另外这种方法有什么缺点吗? 多谢!
2013-6-20 14:52
0
古月亮
雪    币: 233
活跃值: (322)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
需要过滤的东西多了去了, / \ 号也必须包含在内
2013-6-20 15:14
0
plume
雪    币: 235
活跃值: (149)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
你首先得明白xss是什么,它是对网站用户的攻击,而不是对网站的直接攻击。

从输入输出的角度,需要假定所有由用户输入的内容都是不可靠的。但就xss而言,除非必要决不允许用户提交html内容(自然包括javascript),所以做htmlencode即可。如确实必要传递带格式的html,也要最低限度的保证js无法实施。这方面有一些比较成熟的库,最安全的就是实现原理就是做html标签白名单,有不少好的库
2013-6-20 16:33
0
hobolc
雪    币: 293
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
推荐你们公司做策略 加个waf吧 哈哈
2013-6-21 00:43
0
IceHawk
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
防御了破折号javascript代码怎么运行的起来。。
2013-6-24 13:12
0
寻找奇点
雪    币: 238
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
不要自己去想  用成熟的库
过滤的时候很容易挂一漏万的
2013-6-24 17:58
0
redrocky
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
把modsecurity集成进去
2013-6-25 11:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回