预防XSS漏洞攻击

XSS攻击的特点就是通过对HTTP参数内容进行特殊的编写，达到获取信息、执行命令的目的。

举一个简单的例子，假如你有一个登录页面，在登录后在页面上显示用户的用户名。代码片段如下：   

request.setAttribute("username", username);

登录后显示的JSP页面片段：            

当前登录用户: <span>${username}</span>

正常的情况下，这个功能会工作的很好，不会有什么问题。但是如果遇到别有用心的人，那么结果将会很不一样。比如，在浏览器中输入URL如下：http://%host%:%ip%/XX/login?username=<script>alert('黑客！！！')</script>

那么结果将不会是你期望的在页面上看到登录用户的名称，而是弹出一个提示框显示“黑客！！！”，这就是一个典型的跨站脚本攻击。

解决办法就是使用 

${param.userName}

输出参数。

一般情况下，上述方法就搞定了。不过这里列出我遇到的两种特殊的情况。重点来了

1、页面中被注释的内容含有接收的参数。

URL如下:   http://%host%:%ip%/XX/view?Id=1&type=manage*/alert('黑客!!!');/*

jsp代码片段：

/* $("#search-btn").click(function(){window.location="../link?type=${param.type}&Id=${param.Id}";}); */

而此时解析出来的html代码为：

/* $("#search-btn").click(function(){window.location="../link?type=manage*/alert('黑客!!!');/*&Id=1";}); */

访问上面URL就是弹出提示框显示“黑客!!!”。

所以要去掉页面中不必要的注释，尤其的含有输入参数的注释。

2、页面中直接使用接收的参数。如：参数放入括号中

URL如下：http://%host%:%ip%/XX/view?Id=3&type=manage&node=79777);alert("黑客!!!");%2f%2f

jsp代码片段：

<pre name="code" class="html">var proxy = Handler.getProxyByNode(${param.node});

而此时解析出来的html代码为：

var proxy = Handler.getProxyByNode(79777);alert("黑客!!!");//);

访问上面URL就是弹出提示框显示“黑客!!!”。

所以要避免这样直接使用接收的参数。而应该用下面方法：

var node = '${param.node}';var proxy = Handler.getProxyByNode(node);