什么是xss攻击?
请
点击这里
怎么样避免xss攻击?
使用jsp tag来输出,比如<c:out/><s:property/>,这些tag默认都对html代码转义了
但是又引入了一个新的难题,怎么使用富文本编辑器?
富文本编辑器最终得到的内容是html代码,并且要原样输出.但是html代码是可以直接或者间接编辑的,这样的话就可以插入任何代码,可以用<script>标签,可以用<a href="javascript:xxx">,可以用css里面的expression,<img onload="xxx">等等.
解决方法有两个
1.在服务器端过滤这些script,很难全部过滤,不知道有没有现成的lib可以用
2.干脆不使用,像大部分论坛那样搞几个定义好的tag,比如[a][/a]插入超链接,这样不够灵活也做不到所见即所得,但是安全第一
不知道大家有什么好的解决方法?