本人作为一名Java开发者,在工作中时常遇到需要从其它系统拉取数据,那么就需要跟其它系统的同学沟通为我们开放接口,对方会发送一些AppId和AppKey之类的数据,在我们请求接口的时候,需要把这些值和参数等信息一起生成摘要发送过去;最近项目又因其它原因,需要开放外网,于是安全部对系统一顿扫描,提出各类安全要求,本人也将近期的收获分享给大家
1. XSS防护
1)XSS原理
XSS是最常见的功能类型,其原理就是在WEB页面中嵌入恶意脚本程序,当用户在打开页面的时候,恶意的脚本程序就会在客户端的浏览器中执行;
例如:在输入框中输入以下代码
<script>alert("hello");</script>还可以将URL进行URLEncode进行编码
比如:将<,>,/进行转换为 %3cscript%3ealert(%22aaa%22)%3b%3c%2fscript%3e除了以上的方式之外,还可能转换大小写,来躲避过滤器
比如:<ScrIPt>xxx</sCRipT>2)XSS分类
3)XSS防范
常见的防范方式:
- 设置HttpOnly