jsp修復xss攻擊的方法:
jsp頁面接收參數時,對參數進行過濾處理,例如:
1.請求鏈接:
http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>
2.參數過濾:
String successUrl =request.getParameter("successUrl");
if(StringUtil.isNotNull(successUrl)){
successUrl = successUrl.replaceAll("<","")//匹配尖括號
.replaceAll(">","")//匹配尖括號
.replaceAll("\"","")//匹配雙引號
.replaceAll("\'","")//匹配單引號
.replaceAll("\\(.*?\\)","")//匹配左右括號
.replaceAll("[+]","");//匹配加號
}
3.jsp頁面中使用參數如下:
<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
