【Java代码审计 | 第六篇】XSS防范

秋说2025-03-10 9:10

文章目录

XSS防范

使用HTML转义

在输出用户输入时,对特殊字符进行转义,防止它们被解释为HTML或JavaScript代码。

例如,使用StringEscapeUtils

java 复制代码 
import org.apache.commons.text.StringEscapeUtils;

String userInput = request.getParameter("input");
String safeInput = StringEscapeUtils.escapeHtml4(userInput);  // 转义HTML
out.println(safeInput);

举个例子,以下是漏洞代码:

java 复制代码 
<%@ page contentType="text/html; charset=UTF-8" language="java" %>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>XSS 测试</title>
</head>
<body>
<h1>在JavaScript中直接使用用户输入导致XSS</h1>
<form action="index.jsp" method="get">
  <label>请输入内容:</label>
  <input type="text" name="input">
  <button type="submit">提交</button>
</form>
<h2>输出结果:</h2>
<p>
  <%
    String userInput = request.getParameter("input");
    if(userInput != null){
      out.println("<script>var input = '" + userInput + "';</script>");
    }
  %>
</p>
</body>
</html>

代码直接将用户输入插入JavaScript中,导致XSS:

使用StringEscapeUtils进行转义可有效防止XSS:

java 复制代码 
<%@ page import="org.apache.commons.text.StringEscapeUtils" contentType="text/html; charset=UTF-8" language="java" %>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>XSS 测试</title>
</head>
<body>
<h1>在JavaScript中直接使用用户输入导致XSS</h1>
<form action="index.jsp" method="get">
  <label>请输入内容:</label>
  <input type="text" name="input">
  <button type="submit">提交</button>
</form>
<h2>输出结果:</h2>
<p>
  <%
    String userInput = request.getParameter("input");
    String safeInput = StringEscapeUtils.escapeHtml4(userInput);  // 转义HTML
    if(userInput != null){
      out.println("<script>var input = '" + safeInput + "';</script>");
    }
  %>
</p>
</body>
</html>

JSP中可以使用JSTL的<c:out>标签实现转义:

jsp 复制代码 
<c:out value="${param.input}" escapeXml="true"/>  <!-- 自动转义HTML -->

Thymeleaf框架能够自动转义:

html 复制代码 
<p th:text="${input}"></p>  <!-- Thymeleaf默认会自动转义 -->

使用Content Security Policy (CSP)

CSP是一种浏览器安全机制,可以通过HTTP头来限制页面中可以执行的脚本来源,从而减少XSS攻击的风险。

java 复制代码 
response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self'");

输入验证

对用户输入进行严格验证,确保其符合预期的格式和类型。例如,使用正则表达式检查输入是否为合法的电子邮件地址或电话号码:

java 复制代码 
String userInput = request.getParameter("input");
if (!userInput.matches("[a-zA-Z0-9]+")) {
    // 输入不合法,拒绝处理
}

使用安全的库和框架

许多现代框架提供了内置的XSS防护机制。例如,Spring框架的HtmlUtils可以安全处理用户输入:

java 复制代码 
import org.springframework.web.util.HtmlUtils;

String userInput = request.getParameter("input");
String safeInput = HtmlUtils.htmlEscape(userInput);  // 使用Spring的HtmlUtils进行转义
out.println(safeInput);

避免直接使用用户输入构建JavaScript代码

尽量避免将用户输入直接嵌入JavaScript代码中。如果必须这样做,应进行适当的转义。

java 复制代码 
String userInput = request.getParameter("input");
String safeInput = StringEscapeUtils.escapeEcmaScript(userInput);  // 转义JavaScript
out.println("<script>var input = '" + safeInput + "';</script>");
相关推荐
MaCa .BaKa几秒前
47-心里健康咨询平台/心理咨询系统
java·spring boot·mysql·tomcat·maven·intellij-idea·个人开发
木子欢儿19 分钟前
Docker Hub 镜像发布指南
java·spring cloud·docker·容器·eureka
Devin~Y30 分钟前
高并发电商与AI智能客服场景下的Java面试实战:从Spring Boot到RAG与向量数据库落地
java·spring boot·redis·elasticsearch·spring cloud·kafka·rag
蜡台34 分钟前
IDEA 一些 使用配置和插件
java·ide·intellij-idea
磊 子1 小时前
redis详解2
java·spring boot·redis
白露与泡影1 小时前
Java面试题库及答案解析(2026版)
java·开发语言·面试
程序员阿明1 小时前
spring boot3 集成jjwt(java-jwt)版本的
java·spring boot·python
bbq粉刷匠1 小时前
Java--剖析synchronized
java·开发语言
ayt0071 小时前
Netty AbstractNioChannel源码深度剖析:NIO Channel的抽象实现
java·数据库·网络协议·安全·nio
Gofarlic_OMS1 小时前
装备制造企业Fluent许可证成本分点典型案例
java·大数据·开发语言·人工智能·自动化·制造
热门推荐
01GitHub 镜像站点02一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛03OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05MySQL表约束详解:8大核心约束实战指南06Oh My Codex 快速使用指南07CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南08VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)09UV安装并设置国内源10Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)