jsp修复xss攻击的方法:
jsp页面接收参数时,对参数进行过滤处理,例如:
请求链接:
http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>参数过滤:
String successUrl =request.getParameter("successUrl");
if(StringUtil.isNotNull(successUrl)){
successUrl = successUrl.replaceAll("<","")//匹配尖括号
.replaceAll(">","")//匹配尖括号
.replaceAll("\"","")//匹配双引号
.replaceAll("\'","")//匹配单引号
.replaceAll("\\(.*?\\)","")//匹配左右括号
.replaceAll("[+]","");//匹配加号
}
jsp页面中使用参数如下:
<input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />
