一尘不染

保护JSP页面Againt XSS

jsp

我想保护我的网站表单xss,并且我想确保我所有的数据都是正确且一致的,所以我不想允许向我的数据库添加任何脚本,这是因为我的数据可能会被其他Web服务使用,因此我想确保我的数据是正确的,不会对他人造成任何问题。

我只想在数据的输入中进行验证,而不是在输出中进行验证,因此我将只进行一次验证,而且我将确保数据库中没有脚本。

编辑 :请检查我添加的最后一条评论。


阅读 166

收藏
2020-06-08

共1个答案

一尘不染

使用一些过滤器清除HTTP请求数据。

您可以去jsoup,它非常方便:

String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

参考:http :
//jsoup.org/cookbook/cleaning-html/whitelist-
sanitizer

2020-06-08