網頁

2018/1/14

處理弱點掃描XSS問題request為json的做法

如果在jsp頁面傳遞request value時,通常會在EL語法套上<c:out value="${...}"/>${fn:escapeXml(...)}來防止XSS攻擊的潛在風險,也就是把html的特殊符號(e.g.&<>"')取代成html代碼,但如果傳遞的request值為JSONObject就無法使用<c:out>了,因為json中的雙引號為xml跳脫字元,會被取代成html code &#039;

目前暫時使用下面方式來規避弱點掃描軟體的檢查。

$("<div/>").html('${fn:escapeXml(json) }').text();

上面方法使用了jQuery的html()方法來將html代碼轉回原本的符號。

如果覺得文章有幫助的話還幫忙點個Google廣告,感恩。

沒有留言:

張貼留言