在我的Tomcat 7.0.88应用程序中,用户可以将标签放入URL参数中,这显然是XSS问题。但是,我不确定如何修复它,希望有一些Tomcat过滤器(本机或第三方)或Java库可供我用来解决此问题,而不是尝试使用自己的解决方案(永远不要好主意)。
可以通过进入我的应用程序中的URL进行攻击,例如
https:// /user_report.jsp?round=3
如果我将该脚本标签放入亚马逊上的页面,他们会对其进行清理并删除。
此外,由于该标签不在任何地方的 标签中,我什至还不清楚如何触发警报显示。
答案 0 :(得分:2)
您必须转义这些字符。对于PHP,解决方案很简单,对于JSP,则有所不同。
您需要使用<c:out>标签。您需要使用转义标签,而不是在页面上显示${round}。
尝试使用<c:out value="${round}">,这将通过将HTML特殊字符转换为实体值来清理页面上显示的内容。
请注意,您将需要更改我的解决方案以适合您的应用程序。这应该可以解决问题,但是我对JSP应用程序的了解有限。