什么是xss攻擊?
請
點擊這里
怎么樣避免xss攻擊?
使用jsp tag來輸出,比如<c:out/><s:property/>,這些tag默認都對html代碼轉義了
但是又引入了一個新的難題,怎么使用富文本編輯器?
富文本編輯器最終得到的內容是html代碼,并且要原樣輸出.但是html代碼是可以直接或者間接編輯的,這樣的話就可以插入任何代碼,可以用<script>標簽,可以用<a href="javascript:xxx">,可以用css里面的expression,<img onload="xxx">等等.
解決方法有兩個
1.在服務器端過濾這些script,很難全部過濾,不知道有沒有現成的lib可以用
2.干脆不使用,像大部分論壇那樣搞幾個定義好的tag,比如[a][/a]插入超鏈接,這樣不夠靈活也做不到所見即所得,但是安全第一
不知道大家有什么好的解決方法?