跨站点脚本(XSS)是Web应用程序中的一种安全漏洞,攻击者可以通过某种类型的用户输入(例如输入框,URL参数,HTML标头等)注入恶意脚本,
这一点很重要,防止XSS攻击对维护很重要。 Web应用程序信息的机密性,完整性和可用性。反映并存储了两个主要的跨站点脚本缺陷:
反映的XSS
来自用户请求的恶意内容会显示给用户,或者在服务器响应后将其写入页面。例如,在下一个屏幕截图中,信用卡号字段很容易受到攻击。在数字之后,有一个脚本要插入:
| 1个 | <script src="data:text/javascript;base64,YWxlcnQoJ215IGphdmFzY3JpcHQgaGVyZScp" defer=""></script> |
单击购买按钮后,将显示警报窗口:
Java漏洞的补丁
当您有一个String RequestParam时,请避免在不进行消毒的情况下对其进行处理:
该 OWASP的Java编码器 有一个名为forHtml用于这一目的的方法:
储存的XSS
有效负载被保留。例如,在下一个屏幕截图中,您可以看到脚本已添加为注释。加载页面后,将执行脚本并将其作为代码的一部分进行打印。
Java漏洞的补丁
解决方案是在处理RequestBody之前先对其进行清理:
现在,注释将打印为文本,但不会执行:
| 在我们的JCG计划的合作伙伴Eidher Julian的允许下,在Java Code Geeks上发布。请参阅此处的原始文章:Java中的跨站点脚本处理(XSS)处理 Java Code Geeks贡献者表达了自己的见解。 |
原创文章,作者:冰封一夏,如若转载,请注明出处:http://www.nncjzx.com/226.html
关注本站公众号获取更多实时内容
相关推荐
-
什么是JDBC?Java数据库连接简介
JDBC(javadatabaseconnectivity)是javaapi,它管理连接到数据库、发出查询和命令以及处理从数据库获得的结果集。1997年作为JDK1.1的一部分发布…
-
如何在Java中创建基于Web的查看器
在下面的教程中,我们将详细介绍如何使用Java中的API为基于Web的简单文档查看器创建HTML嵌入代码。 基于Web的查看器本质上是您希望用户能够在您的网站或应用程序上浏览的文档…
-
如何在Java中使用typesafe枚举
使用传统枚举类型的Java代码是有问题的。Java5以类型安全枚举的形式为我们提供了更好的选择。在本文中,我将向您介绍枚举类型和类型安全枚举,演示如何声明类型安全枚举并在switc…
-
Java20个优秀的实用开源库
一个优秀且经验丰富的Java开发人员的特点之一是对API的广泛了解,包括JDK和第三方库。我花了很多时间学习API,特别是在阅读Effective Java 3rd Edition…
-
将Integration API与IBM App Connect Enterprise V11一起使用
在本文中,我将介绍如何在App Connect Enterprise v11.0.0.5中提供的Integration API中使用新的打包的类。 介绍 在IBM App Conn…
-
jdk17:java17的未来是什么
尽管java17要到9月份才能发布,但它已经初具规模,目前正在考虑升级到标准Java的四个新特性。截至3月30日,最新的新增功能包括一个MacOS/AArch64端口和applet…
-
Java16新特性一一解析
3 月 16 日,甲骨文正式发布 Java 16。甲骨文表示,现在为所有开发人员和企业提供 Java 16。 据悉,按照甲骨文重要补丁更新(CPU)时间表,甲骨文 JDK 16 将…
-
升级旧Java应用程序的10个问题
在我的应用程序升级时发现为什么以及如何升级您的应用程序 我最近开源了一个应用程序升级示例,该示例演示了如何将旧的(2010年)Java EE应用程序升级为最新的(2021年)云原生…
-
Flink 必知必会经典课程2:Stream Processing with Apache Flink
作者|崔星灿 本篇内容包含三部分展开介绍Stream Processing with Apache Flink: 并行处理和编程范式DataStream API概览及简单应用Fli…
-
十大排序算法性能对比详解
1. 十大排序算法 其中 冒泡,选择,归并,快速,希尔,堆排序属于比较排序 稳定性理解 如果相等的两个元素,在排序前后的相对位置保持不变,那么这是稳定的排序算法。 排序前:5,1,…
