在解决跨站点脚本问题时遇到问题

时间:2015-05-08 04:14:03

标签: java xss

我阻止我的应用程序出现跨站点脚本缺陷。我已经为我的应用程序中的所有字段完成了验证部分,但是我不知道如果有人在URL中注入代码,如何防止此缺陷,请帮助我如何摆脱这个缺陷。 例如: 脚本:

javascript:alert(document.cookie)

就像我们在url中注入上面的代码一样,我们可以在注销后获得用户名和会话ID。

请建议我解决方案。

2 个答案:

答案 0 :(得分:1)

html解码/编码无法帮助,我在大多数Web应用程序(如Atlassian JIRA,Slack)上测试了这一点,所有这些都允许这个,并且它是在html页面中打印的。此标记仅适用于以下情况: 如果正在打印 在href属性 -

<a href="javascript:alert(document.cookie)">Test</a>

在Onclick属性中

<a href=# onclick="javascript:alert(document.cookie)" >test</a>

因此,请确保您没有直接在href或onClick属性中打印任何内容,如果您要在其中添加任何可以手动检测javascript的过滤器,或者不要忘记在链接之前附加http://。

答案 1 :(得分:0)

在地址栏中输入javascript:alert(document.cookie)的人是一个漏洞。

如果攻击者在他们的网站上放置一个链接到javascript:alert(document.cookie)的href,那么它只会在攻击者的网站上显示cookie。

只有用户才能在自己的浏览器中输入代码。这称为Self-XSS

如果这不是您的意思,请使用工作网址示例更新您的问题(您可以将您的域名更改为example.com以获取隐私权限),然后添加评论让我知道并且我我会更新我的答案。