登陆页面用户名输入框存在XSS跨站漏洞

跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码。

成功的跨站脚本攻击所带来的主要问题包括:

帐号劫持 - 攻击者可以在会话cookie过期之前劫持用户的会话,并以访问ULR用户的权限执行操作,如发布数据库查询并查看结果。

恶意脚本执行 - 用户可能在不知情的情况下执行攻击者注入到动态生成页面中的JavaScript、VBScript、ActiveX、HTML甚至Flash内容。

这里介绍一种方便的解决方案:
利用一个工具类过滤用户输入的敏感攻击字段
废话不多说直接把工具类的代码奉上

package com.bwton.util;

import org.apache.commons.lang3.StringUtils;

import java.text.CharacterIterator;
import java.text.StringCharacterIterator;

public class EncodeUtil {

    public static String HTMLEncode(String aText){
        if(aText==null){
            return null;
        }
        final StringBuilder result = new StringBuilder();
        final StringCharacterIterator iterator = new StringCharacterIterator(aText);
        char character =  iterator.current();
        while (character != CharacterIterator.DONE ){
            if (character == '<') {
                result.append("<");
            }
            else if (character == '>') {
                result.append(">");
            }
            else if (character == '&') {
                result.append("&");
            }
            else if (character == '\"') {
                result.append(""");
            }
            else {
                result.append(character);
            }
            character = iterator.next();
        }
        return StringUtils.replace(result.toString(),"/","").replace("\\","")
                .replace("+","").replace(",","").replace("=","")
                .replace("%","")
                .replace("&","").replace("'","")
                .replace("\"","").replace("?","").replace("(","")
                .replace(")","").replace("$","");
    }


}

然后下面就好说了,把前台拿到的user.username用工具类处理一下就可以了

user.setUsername(EncodeUtil.HTMLEncode(login.getUsername()));

你可能感兴趣的:(XSS攻击,java)