2016/11/28 简单了解xss和简单防止xss攻击

 

了解xss,借鉴别人的文章:

http://xxxxx0000sssss.lofter.com/post/14b1dc_50023e

我的感觉,xss就是request中的脚本。

 

简单防止xss:

过滤掉包含脚本的请求,不通过。

/**
     * 防止XSS攻击
     * @param request
     * @return
     */
    @SuppressWarnings("rawtypes")
    private boolean xssTrack(HttpServletRequest request) {
        Map<Object, String[]> paramMap = request.getParameterMap();
        Iterator iterator = paramMap.keySet().iterator();
        boolean xss = false;
        while(iterator.hasNext()) {
            Object key = iterator.next();
            String[] value = paramMap.get(key);
            for(String str : value) {
                str = str.toLowerCase();
                Matcher m = SCRIPT_PATTERN.matcher(str);
                if(m.find()) {
                    xss = true;
                    break;
                }
            }
            if(xss)
                break;
        }
        return xss;
    }

 

posted @ 2016-11-28 11:32  guodaxia  阅读(90)  评论(0编辑  收藏  举报