XSS 了解多少

通过恶意的植入代码从而窃取服务器或是用户资料。

这是百科的介绍:

又叫CSS (Cross-Site Scripting) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

措施:

对后台的数据需要进行严格的控制,可以采用common.lang3中的StringEscapeUtils进行处理,里边包含了对java,xml,html,script的有效过滤。

 

Example:

 input string: He didn't say, "Stop!"
 output string: He didn't say, \"Stop!\"

 


如果使用cookie,那必须http-only~

 

 

 

你可能感兴趣的:(xss)