用SpringMVC+MyBatis搭建高性能
安全站点
用SpringMVC+Mybatis搭建高性能安全站点
网站安全:防止SQL注入
网站安全:防止SQL注入
本课时包括以下知识点:
• XSS跨站脚本
• SQL注入
• 使用HttpServletRequestWrapper类解决XSS跨站脚本和SQL注入问题
网站安全:防止SQL注入 ─ XSS跨站脚本
XSS又称CSS,全称Cross Site Script,跨站脚本攻击,是Web程序中常见的漏
洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理
是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网
站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、
破坏页面结构、重定向到其它网站等。
网站安全:防止SQL注入 ─ XSS跨站脚本
一个简单的例子,页面名字叫test.jsp:
<html>
<head>
<title>XSS测试</title>
</head>
<body>
页面内容:<%=request.getParameter("content")%>
</body>
</html>
请求下面链接就会出现问题了:
http://www.domain.com/test.jsp?content=<script>alert('XSS注入');</script>