新的测试。我运行了一个漏洞分析,指出我正在测试的应用程序有很多xss漏洞。
现在该如何从这里开始?
源代码:
if(Name !=null)
{
if(Name.equals(server))
{
String appName = request.getParameter("appName");
if(appName !=null && appName.equals(CommonUtil.getProductName()))
{
message = addProductDetails(request, productName, message);
}
}
else if(Name.equalsIgnoreCase(test))
{
ADSMPersUtil.updateSyMParameter("IS_INTEGRATED", "true");
message = "Successfully Integrated";//No I18N
}
else{message = addProductDetails(request, productName, message);}
}
PrintWriter out = response.getWriter();
response.setContentType("text/html");//No I18N
out.println(message);
out.close();
}
catch(Exception e){e.printStackTrace();}
}
答案 0 :(得分:0)
如果message不是HTML,则在插入HTML流之前需要进行HTML编码。需要将<,>,",',&等字符转换为相应的HTML实体。
使用JSP,<c:out>标记执行此编码,其他模板语言也有类似的方法。
直接从Java写入OutputStream时,您可以使用Java方法进行转义。请参阅:Recommended method for escaping HTML in Java
如果message已经是HTML,那么生成HTML的代码同样需要转义插入其中的任何数据值。
对于不包含任何这些特殊字符的常量字符串,您可以将其视为HTML字符串或纯文本字符串。在输出它们时,无论如何都要逃避这些Strings更加健壮,这可以防止在将来字符串发生变化时引入任何XSS问题,特别是如果它们是在其他方法中创建的。