Java 防止xss攻击的url编码
下面是im在用于下载文件的java程序中创建的urlJava 防止xss攻击的url编码,java,html,xss,Java,Html,Xss,下面是im在用于下载文件的java程序中创建的url String servletPathURL = "/BookAppWebProject/download fileName="+fileName+".csv&fileFormat=vnd.ms-excel"+"&methodName=exportUsers&filePath="+tmpFilePath; 在UI(jsp页面)中,我使用iframe打开弹出窗口(显示从上面的url保存和打开文件的选项),并使用脚本动态地
String servletPathURL = "/BookAppWebProject/download fileName="+fileName+".csv&fileFormat=vnd.ms-excel"+"&methodName=exportUsers&filePath="+tmpFilePath;
jQuery(initialise_exportiframe);
function initialise_exportiframe() {
var flag ='<%= session.getAttribute("exportFlag") %>';
var exportURL ='<%= session.getAttribute("exportServletURL") %>';
if(flag == '1') {
<% session.setAttribute("exportFlag", "0"); %>
document.getElementById("exportFrame").src=exportURL;
}
}
<iframe id="exportFrame" style="display: none" src="/IPSSWebProject/framework/skeletons/EnterprisePortalLAF/IPSS_blank.html"></iframe>
jQuery(初始化导出框架);
函数初始化_exportiframe(){
var标志=“”;
var exportURL='';
如果(标志=='1'){
document.getElementById(“exportFrame”).src=exportURL;
}
}
我担心的是,我可以在“viewsourcepage”中看到确切的url,这可能会导致XSS攻击。谁能告诉我如何隐藏或编码这个原始url。文件名和tmpFilePath来自哪里?您的URL在源代码中仍然可见,因为浏览器需要访问URL并下载文件-这一事实本身不允许XSS攻击。@Andres。文件名是在java程序中硬编码的,我使用文件类创建文件,比如final file tmpFile=file.createTempFile(文件名“.csv”);writer=新文件编写器(tmpFile);writer.write(导出文本);tmpFilePath=tmpFile.getAbsolutePath();java程序中生成的URL在ViewSourcePAge中显示。我需要在viewsourcepage中隐藏或编码该url。。或者是他们的任何方式来处理它?无论你做什么,浏览器需要看到该URL来获取它。您可以在客户端使用Javascript稍微混淆URL,但无法完全隐藏它,因为浏览器需要知道获取什么。不要让您的安全模型依赖于未知的URL。