在 URL 中阻止 javascript/VBScript

Question

我正在开发一个 J2EE 应用程序。我必须避免来自我的应用程序的 XSS 攻击。我见过的最多的攻击是通过 URL “发送 javascript/VBScripts”并获取我的所有信息。这是示例网址，

http://application.com/application/main.do?var=10&job=alert(“Cookie”+document.cookie)

通过使用上面的这个 URL，攻击者可以很容易地获取我的 cookie 信息。

那么如何通过每次请求提交到服务器时验证上述 URL 来避免这些攻击呢？

问候， 杰拉德。

Answer 1

我建议你看看OWASP-ESAPI这个项目，但基本原理如下

• 永远不要相信用户的输入
  • 假设您需要一个数字，然后您将验证该数字以确保它是一个数字，否则拒绝它，这样可以确保只有数字通过
  • 如果您需要一个标题，例如，您可以限制为[A-Za-z]{2,4}。
• 始终编码输出
  • 来自数据库/用户的任何内容都应正确编码

Answer 2

不要相信用户输入，永远不要把它写在 javascript 标签中。使用StringUtils.escapeJavaScript 和StringUtils.escapeHtml（来自apache commons-lang）进行消毒。