Java Web项目中如何防护常见的XSS漏洞?

XSS(Cross Site Script)跨站点脚本攻击是一种注射的问题,在这种恶意脚本注入否则良性和信任的网站类型。跨站点脚本(XSS)攻击,攻击者使用时,会出现一个网络应用程序发送恶意代码,一般是在浏览器端脚本的形式,向不同的最终用户。这些缺陷,使攻击成功是相当普遍,发生在任何地方从一个Web应用程序使用在输出它没有验证或编码了用户输入。攻击者可以使用XSS的恶意脚本发送到一个毫无戒心的用户。最终用户的浏览有没有办法知道该脚本不应该信任,将执行该脚本。因为它认为该脚本来从一个受信任的源,恶意脚本可以访问任何Cookie,会话令牌,或其他敏感信息的浏览器保留,并与该网站使用。 甚至可以重写这些脚本的HTML网页的内容。

那么在Java for Web项目中如何防护呢?

Github给出了答案:https://github.com/GDSSecurity/AntiXSS-for-Java

相关推荐:
A类:10.0.0.0-10.255.255.255 B类:172.16.0.0-172.31.255.255 C类:192.168.0.0-192.168.255.255
Nginx安装后默认直接显示自身的版本号,出于安全或隐私的考虑,可能需要隐藏Nginx的版本信息。隐藏Nginx的版本信息非常简单,只需要适当修改几个文件即可实现,且不会对正在运行中的程序造成影响。 1、修改 …
i (PCRE_CASELESS) 如果设定此修正符,模式中的字符将同时匹配大小写字母。 m(PCRE_MULTILINE) 默认情况下,PCRE 将目标字符串作为单一的一“行”字符所组成的(甚至其中包含有换行符也是如此)。“行起始” …
使用隐式intent进行广播会造成数据泄露、拒绝服务、钓鱼等安全问题。 使用Intent.setPackage 、Intent.setComponent、Intent.setClassName、Intent.setClass、new Intent(context,Receivered.class)中任一 …
重要的事情强调下,如果急需morph功能按如下步骤操作: 1.如果当前安装的是office2016 VOL版(批量许可版),当前这个版本还没有推送morph和designer更新,如果想更新,必须把这个版本卸载掉重新安装零售版 …
手机扫一扫即可带走我!