Java Tech

如无必要,勿增实体

标签 "xss" 下的文章

与SpringMVC Web开发相关的XSS问题(二)

  前一篇文章,主要介绍了如何正确显示用户输入的包含特殊符号的信息,避免打乱页面结构,防止脚本攻击。上述可能出现的问题仅仅当这些输入信息没有与数据库打交道,如果这些信息作为数据库查询使用,那会造成什么后果呢?SQL注入!没错!有可能会造成SQL注入问题。本文主要讨论包含特殊符号的信息如何引发SQL注入以及如何防止该问题的发生。

与SpringMVC Web开发相关的XSS问题(一)

  今天同事提了一个bug,编辑一条记录时,发现某个字段的值为空,查看网页源代码发现原来这个字段的值带有特殊符号",如:value=""abc"",居然是XSS漏洞。难道SpringMVC框架默认没有对用户输入的特殊字符进行处理的?然后在网上找了很多关于SpringMVC防止XSS漏洞和SQL注入攻击的文章,发现内容大多重复,而且提供的预防方法也不是非常准确,有的方法根本无效。下面通过实验证明一些方法的可行性。

beplay William Hill