如何清理 HttpServletRequest 中 getCookies()、getRequestURL() 的返回值？

发布于 2025-01-05 11:49:05 字数 654 浏览 1 评论 0原文

在我的 Java EE 项目中，我在 web.xml 文件中设置了一个过滤器，它将使用 MyHttpServeltRequestWrapper 类（extends HttpServletRequestWrapper）。我重写了其中的 getParameter/ getParametervalues 方法，以防止任何 XSS 攻击。

我正在对参数值执行 HTML 转义。

等方法是否是个好主意吗？

有人可以告诉我重新定义诸如getRequestURL()、
getRequestURI()、
getQueryString()、
>getCookies() 方法来放入 XSS 预防逻辑。

我可以对 getRequestURL()、getRequestURI()、getQueryString() 返回的值使用 URLEncoder 吗？

那么 getCookies 方法呢？如果我的 getcookies() 方法未经消毒，我的页面会以何种方式容易受到攻击？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

撕心裂肺的伤痛 2025-01-12 11:49:05

对于 XSS 预防，您走错了路。 XSS 不会损害服务器端代码。它只会损害生成的 HTML 输出。当您在现有 HTML 源代码中内联未转义的用户控制输入，以便浏览器将其解释为真实 HTML 源代码的一部分时，这会造成损害。您需要将 <、> 等 HTML 特殊字符替换为 <、>< /code> 等，以便它们按原样显示。

仅在视图端 (JSP) 执行此操作。只需在重新显示用户控制输入的任何地方使用 JSTL 或 fn:escapeXml() 即可。它们会转义 HTML 特殊字符。

例如，

<c:out value="${someBean.someUserControlledValue}" />
<c:out value="${cookie.cookiename}" />
<c:out value="${header.headername}" />
<c:out value="${param.paramname}" />
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

另请参阅：

JSP/Servlet Web 应用程序中的 XSS 预防

You're going the wrong path as to XSS prevention. XSS does not harm in server side code. It only harms in the generated HTML output. It will harm when you inline user-controlled input unescaped among the existing HTML source code so that it get interpreted by the browser as part of real HTML source code. You need to replace HTML special characters like <, >, etc by <, >, etc so that they get displayed as-is instead.

Do it in the view side (JSP) only. Just use JSTL <c:out> or fn:escapeXml() everywhere you're redisplaying user-controlled input. They will escape HTML special characters.

E.g.

<c:out value="${someBean.someUserControlledValue}" />
<c:out value="${cookie.cookiename}" />
<c:out value="${header.headername}" />
<c:out value="${param.paramname}" />
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />