XSS 理解多少
XSS 了解多少
通过恶意的植入代码从而窃取服务器或是用户资料。
这是百科的介绍:
又叫CSS (Cross-Site Scripting) ,跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
措施:
对后台的数据需要进行严格的控制,可以采用common.lang3中的StringEscapeUtils进行处理,里边包含了对java,xml,html,script的有效过滤。
Example: input string: He didn't say, "Stop!" output string: He didn't say, \"Stop!\"
如果使用cookie,那必须http-only~