JSP頁(yè)面c:out輸出設(shè)計(jì)
設(shè)計(jì)概述:XSS攻擊后最終的體現(xiàn)是在前端西篓,直接暴露給用戶(hù)锣光,抓住前端代碼處理環(huán)節(jié)是XSS最后的防護(hù),由于以上我們做了大量的XSS處理杜絕源頭蔬浙,因此頁(yè)面純粹是增強(qiáng)設(shè)計(jì)猪落。
應(yīng)用場(chǎng)景設(shè)計(jì):對(duì)controller的方法層直接返回頁(yè)面,使用request.setAttribute敛滋,modelandview請(qǐng)求數(shù)據(jù)場(chǎng)景
c:out的作用域只能是Jsp许布,含Jsp的HTML部分、Javascript绎晃、css部分都是有效的蜜唾,但是單獨(dú)JS文件、CSS文件是無(wú)效引入庶艾。
步驟1:頁(yè)面引入jstl c標(biāo)簽庫(kù)
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
步驟2:頁(yè)面使用如下方式對(duì)el表示式處理袁余;
<c:out value=”${groupName}” />
步驟3:注意事項(xiàng)
1)、<c:foreach> items引用的循環(huán)對(duì)象不要使用c:out輸出咱揍;
2)颖榜、控件的屬性值使用c:out時(shí)要么是雙引號(hào)在外,單引號(hào)在內(nèi)煤裙,反之亦然掩完;
Js文件處理設(shè)計(jì)
設(shè)計(jì)概述:我們中臺(tái)部分應(yīng)用場(chǎng)景設(shè)計(jì)提交表單->回寫(xiě)表單的數(shù)據(jù)不是實(shí)時(shí)從數(shù)據(jù)庫(kù)獲取,需要F5二次刷新才可以取到已處理XSS的數(shù)據(jù)硼砰,初次回寫(xiě)造成XSS的攻擊假象且蓬,因此針對(duì)這種場(chǎng)景又苦惱無(wú)法使用c:out,因此我們?cè)贘s里定義了一個(gè)頁(yè)面簡(jiǎn)單轉(zhuǎn)義的函數(shù)题翰。
步驟1:定義html-util.js工具腳本類(lèi),增加如下代碼
var HtmlUtil = {
htmlEncodeByRegExp : function(str) {
var s = "";
if (str.length == 0)
return "";
s = str.replace(/&/g, "&");
s = s.replace(/</g, "<");
s = s.replace(/>/g, ">");
s = s.replace(/ /g, "?");
s = s.replace(/'/g, "'");
s = s.replace(/"/g, """);
return s;
},
htmlDecodeByRegExp : function(str) {
var s = "";
if (str.length == 0)
return "";
s = str.replace(/&/g, "&");
s = s.replace(/</g, "<");
s = s.replace(/>/g, ">");
s = s.replace(/?/g, " ");
s = s.replace(/'/g, "'");
s = s.replace(/"/g, """);
return s;
}
};
步驟2:調(diào)用示例
var name = HtmlUtil.htmlEncodeByRegExp($("#name").val());
FAQ
如何避免重復(fù)轉(zhuǎn)義恶阴?
答:由于我們最終字符串層都是統(tǒng)一調(diào)用spring-web的HtmlUtils類(lèi)處理,不管是數(shù)據(jù)涉及編輯多次重復(fù)轉(zhuǎn)義問(wèn)題豹障、還是Jackson輸出前轉(zhuǎn)義都需先還原原字符冯事,然后再轉(zhuǎn)義一次即可達(dá)合法輸出。
如下代碼:
HtmlUtils.htmlEscape(HtmlUtils.htmlUnescape(value));
哪些范圍不能使用c:out輸出血公?
答:富文本區(qū)域不能用c:out輸出昵仅,如果硬要c:out請(qǐng)?jiān)O(shè)置escapeXml=”false”
還有哪些地方需要完善?
答:具體系統(tǒng)具體分析累魔,比如數(shù)據(jù)字典的正則表達(dá)式岩饼,應(yīng)該特殊處理,然后涉及富文本的應(yīng)該走富文本過(guò)濾薛夜,富文本XSS過(guò)濾還需進(jìn)一步完善籍茧。