项目中有时会需要把一些报错或者解决方案直接返回给前端,
如果直接返回原字符串, 可能会被恶意传参来实现xss注入.
例如常规业务访问一个页面读取文件&file=sdf.cpt,
如果文件不存在, 则页面返回没有找到sdf.cpt的报错.
恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;
这时需要我们在后台对于一些报错进行去脚本话.
一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长.
1 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});
1 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+
索性直接采用最简单粗暴的字符串替换了, 把html实体编码,特殊字符如()<>/,例如> 编成> <编成<
这样显示起来没有问题,也不会导致用户输入的js语句被插入到输出页面而被执行.
改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.
1 private static String encodeHtml(String strInput) { 2 if (StringUtils.isEmpty(strInput)) { 3 return StringUtils.EMPTY; 4 } 5 StringBuffer builder = new StringBuffer(strInput.length() * 2); 6 CharacterIterator it = new StringCharacterIterator(strInput); 7 for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) { 8 if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '['))) 9 || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) { 10 builder.append(ch); 11 } else { 12 builder.append("&#" + (int) ch + ";"); 13 } 14 } 15 return builder.toString(); 16 }