积分管理系统java源码-xss-defense:xss防御

积分管理系统java源码 XSS防御手册 1 引言 本文提供了一个简单的正向机制来防御：恰当地输出转义/编码后的数据。虽然有大量的XSS攻击方式，但是遵循一些简单的规则可以完全抵御这些严重攻击。本文不探讨XSS对技术、业务的影响，只说XSS可以导致攻击者能够获取到操作浏览器的做任何事情的能力。 都可以通过在服务端执行适当的验证和转义来规避。可以使用 一文中描述的子集规则来防御。 有关XSS相关的攻击方法，请参阅。在可以找到关于浏览器安全和各种浏览器的更多背景。 在阅读本文之前，对有个基本了解是非常有必要的。 1.1 积极的XSS防御模型 本文将HTML页面视为模板，模板中存在插槽（slots），允许开发人员在插槽中插入不可信数据。这些插槽覆盖了开发人员绝大多数放置不可信数据的位置。不允许在插槽外的其他位置放置不可信数据。这是一个白名单模式，只有在白名单之中的才是被允许的。 鉴于浏览器解析HTML的方式，不同类型的插槽具有稍微不同的安全规则。将不可信数据放入到插槽时，需要采取一定的措施来确保数据不会从该插槽中跳到允许执行代码的上下文中。从某种意义上，这种方法将HTML文档视为参数化的数据