如何在隐藏字段上修复XSS

时间:2019-04-25 09:46:44

标签: jsp xss java-security

其中一个JSP文件使用了隐藏字段,其中存在XSS漏洞。因此,以下隐藏字段容易受到xss的攻击:

   <input type="hidden" name="input1" value="<%=dummyInputValue%>"/>
   <input type="hidden" name="input2" value="<%=dummyInputValue1%>"/>

其中 dummyInputValue 来自请求对象。如下所示: request.getParameter(“ dummyInputValue”)

我不确定如何解决此字段,以避免xss漏洞。请帮助我。

通过访问以下URL(示例):

http://localhost:7001/app1/PeopleSearch.jsp?input1=%22%3e%3csCrIpT%3ealert(83676)%3c%2fsCrIpT%3e&input2=dummyValue1

触发XSS需要alt + shift + x(windows)或ctrl + alt + x(max)。

1 个答案:

答案 0 :(得分:0)

在阅读了约瑟夫(Jozef)的评论后,我解决了这个问题。通过使用JSTL标记在JSP中防止XSS。那是通过更改下面的代码

{{1}}