树先生0o 2018-01-17 01:46 采纳率: 0%
浏览 2632
已结题

网站XSS安全的漏洞问题如何解决

我在测试自己网站http://www.xxx.com/">alert(55) 敲这样一个链接会弹窗 查询了一下应该是存在XSS漏洞吧 求大神告知该如何修复呢

  • 写回答

6条回答 默认 最新

  • fengqingyuebai19 2018-01-17 02:21
    关注

    配起来有点麻烦,大概就下面的思路,你在网上找找吧

    [#escape x as htmlEnc(x)]
    [/#escape]

     public class HtmlEncFunction implements TemplateMethodModel {

    private static final String EMPTY = "";

    /**
     * 
     * 特殊字符转义.
     * 
     * @see freemarker.template.TemplateMethodModel#exec(java.util.List)
     */
    @Override
    public Object exec(List arguments) throws TemplateModelException {
        String result = EMPTY;
        if (CollectionUtils.isNotEmpty(arguments)) {
            Object param = arguments.get(0);
            if (param instanceof String) {
                result = (String) param;
                if (StringUtils.isNotBlank(result)) {
                    result = ESAPI.encoder().encodeForHTML(result);
                }
            }
        }
        return result;
    }

    public static String cleanXSS(String value) {
        if (StringUtils.isNotBlank(value)){
            value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
            value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "&#41;");
            value = value.replaceAll("'", "& #39;");
            value = value.replaceAll("eval\\((.*)\\)", "");
            value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                    "\"\"");
            value = value.replaceAll("script", "");
        }
        return value;
    }
}
    评论

报告相同问题?

悬赏问题

  • ¥15 如何在scanpy上做差异基因和通路富集?
  • ¥20 关于#硬件工程#的问题,请各位专家解答!
  • ¥15 关于#matlab#的问题:期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707,使系统具有较小的超调量
  • ¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
  • ¥30 截图中的mathematics程序转换成matlab
  • ¥15 动力学代码报错,维度不匹配
  • ¥15 Power query添加列问题
  • ¥50 Kubernetes&Fission&Eleasticsearch
  • ¥15 報錯:Person is not mapped,如何解決?
  • ¥15 c++头文件不能识别CDialog