当(重新)显示用户控制的输入时,可以通过使用JSTL
<c:out>标签或
fn:escapeXml()EL函数在JSP中防止XSS 。这包括请求参数,标头,cookie,URL,正文等。从请求对象中提取的所有内容。同样,在重新显示期间,也需要转义存储在数据库中的先前请求的用户控制输入。
例如:
<p><c:out value="${bean.userControlledValue}"></p><p><input name="foo" value="${fn:escapeXml(param.foo)}"></p>这将逃脱这可能
malform渲染
HTML,如人物
<,>,”,’和&成HTML / XML实体,如
<,
>,
",
'和
&。
注意,你不需要在Java(Servlet)代码中对其进行转义,因为它们在那儿是无害的。有些人可能会选择在逃避他们的请求处理(如你在Servlet或者过滤器一样),而不是响应处理(如你在JSP做),但这种方式,你可能会冒这个险的数据不必要获得双重逸出(如
&变&amp;的,而不是
&和最终,最终用户会看到
&出现),或者数据库存储的数据变得不可移植(例如,将数据导出到JSON,CSV,XLS,PDF等完全不需要转义HTML的数据时)。你还将失去社交控制权,因为你不再知道用户实际填写了什么。作为站点管理员,你真的很想知道哪些用户/ IP正在尝试执行XSS,以便你可以轻松跟踪他们并采取相应的行动。仅在你确实需要在尽可能短的时间内修复开发不良的旧版Web应用程序的残骸时,才应将请求处理期间的转义用作最新手段。不过,你最终应该重写JSP文件以使其成为XSS安全的。
如果你想重新显示用户控制输入为HTML,其中你想只允许HTML标签,如的特定子集
<b>,<i>,<u>,等等,那么你需要通过一个白名单来净化输入。你可以为此使用HTML解析器,例如Jsoup。但是,最好引入一种人类友好的标记语言,例如Markdown(也在Stack Overflow中使用)。然后,你可以为此使用Markdown解析器(如CommonMark)。它还具有内置的HTML清理功能。另请参见我正在寻找Java HTML编码器。
服务器端与数据库有关的唯一问题是防止SQL注入。你需要确保不要在SQL或JPQL查询中直接对用户控制的输入进行字符串连接,并且要始终使用参数化查询。用JDBC术语,这意味着你应该使用
PreparedStatement而不是
Statement。在JPA术语中,使用Query。
