BlogJava-夸父追日-随笔分类-nullhttp://www.blogjava.net/quaff/category/5776.html飞蛾扑火zh-cnMon, 24 Sep 2007 19:10:29 GMTMon, 24 Sep 2007 19:10:29 GMT60如何应对xss攻击?http://www.blogjava.net/quaff/archive/2007/09/24/147744.htmlquaffquaffMon, 24 Sep 2007 03:33:00 GMThttp://www.blogjava.net/quaff/archive/2007/09/24/147744.htmlhttp://www.blogjava.net/quaff/comments/147744.htmlhttp://www.blogjava.net/quaff/archive/2007/09/24/147744.html#Feedback5http://www.blogjava.net/quaff/comments/commentRss/147744.htmlhttp://www.blogjava.net/quaff/services/trackbacks/147744.html点击这里

怎么样避免xss攻击?
使用jsp tag来输出,比如<c:out/><s:property/>,这些tag默认都对html代码转义了

但是又引入了一个新的难题,怎么使用富文本编辑器?
富文本编辑器最终得到的内容是html代码,并且要原样输出.但是html代码是可以直接或者间接编辑的,这样的话就可以插入任何代码,可以用<script>标签,可以用<a href="javascript:xxx">,可以用css里面的expression,<img onload="xxx">等等.

解决方法有两个
1.在服务器端过滤这些script,很难全部过滤,不知道有没有现成的lib可以用
2.干脆不使用,像大部分论坛那样搞几个定义好的tag,比如[a][/a]插入超链接,这样不够灵活也做不到所见即所得,但是安全第一

不知道大家有什么好的解决方法?



quaff 2007-09-24 11:33 发表评论
]]>