我想保护我的网站形式xss,我想确保我的所有数据都是正确和一致的,所以我不想允许向我的数据库添加任何脚本,这是因为我的数据可能被其他网络服务,所以我想确保我的数据是正确的,不会给别人带来任何问题。
我想仅在输入数据时进行验证,而不是在输出中进行验证,因此我只进行一次验证,并且我将确保我的数据库中不存在任何脚本。
编辑:请查看我添加的最后一条评论。
答案 0 :(得分:5)
使用一些过滤器来清理HTTP请求数据。
你可以选择jsoup,它非常方便:
String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>
参考:http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer
答案 1 :(得分:4)
答案 2 :(得分:0)
简而言之,您可以编写过滤器,以正确转义用户输入(映射到相关的URL映射)。有可能随时可用的插件,但我不知道 您可以参考此主题XSS prevention in JSP/Servlet web application