XSS转码 && struts2 property标签的bug

一。了解背景

下面两张图，比较html转义和js的转义。

一定要区分清楚的是，内容回写页面，一定要做的是JS转义！！而不仅仅是html转义

 

从上面两张图可以看出，js里面需要转义到的 单引号'，反斜杠\ 均不在html转义字符之列！（如果针对XSS的话，只要对

<

>

'

"）

 

 

二。<s:property value="xx"/>的稀烂之处

1.这个标签默认是带了html转义的，即完全等同于<s:property value="name" escape="true"/>

 

2.正确XSS防范做法，应该是后台转义后存储，也就是说存到DB里面的数据，就应该是处理过的！（这里的转义是html&js的综合体）：

map.put('<', "&lt;");map.put('>', "&gt;");map.put('\'', "&#39;");map.put('\"', "&quot;");map.put('&', "&amp;");

   在DB层无sql注入防范的时候，甚至需要是三位一体！

 

   拿上面那个例子来说，用户输入name，DB应该存储下面的内容

<script>alert('xss')</script>

    但是很不幸，这串字符使用s:property直接输出到页面上，会因为&符号又会促发一次html escape，导致显示问题

    这里就只能继续恶心一把了，每个标签写上：<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)

 

 

三。严防死守

1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理，其本质需要注意，基于Char的过滤

 

看看源代码应该很容易理解

 StringBuffer escaped = new StringBuffer(input.length() * 2);     for (int i = 0; i < input.length(); ++i) {       char character = input.charAt(i);       String reference = characterEntityReferences.convertToReference(character);       if (reference != null) {          escaped.append(reference);       }       else {          escaped.append(character);       }

 

a.使用String.replace(xx)的方式是搞不定的。举例来说，字符j的表示方式有下面15种之多：

 

\6A\06A\006A\0006A\00006A            //java形式的16进制编码jjjjj           //十 进制编码jjjjj           //十 六进制编码

 

 

b.使用html的过滤方式也是99% OK的，但是像mhtml这样的漏洞，还需要过滤%0d%0a

 

c.指望过滤<>,过滤scrpit串这些明文，也是靠不住的。

 

附件是查资料找到的文档，包括：强烈建议一睹为快

1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理（转）

 2.Ajax hacking with XSS

介绍了诸如此类的注入方式，属于眼界开阔篇

 

<img src="javascript:alert('XSS');">示例：    <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59"> //10进制转码 如图三

 

<img style="xss:expr/*XSS*/ession([code])">            //css的注释符号 为/**/，其中的内容会被忽略　　<style>@im\port'\ja\vasc\ript:alert("XSS")';</style>            //css中忽略的符号还有“\”

 

~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~

p.s.

1.用Jquery的text()取"&lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;"，会被直接读成<script>alert('xss')</script> 。

 

2. 这个串如果直接使用$("#xxyy").html()输出，会产生alert框。

 

3.正确的做法是使用innerHTML函数，可以避免字符串中js被执行：document.getElementById("xxyy").innerHTML=