标签:java开发 设置 遇到 防止 页面 项目 生成 用户 方式
本人作为一名Java开发者,在工作中时常遇到需要从其它系统拉取数据,那么就需要跟其它系统的同学沟通为我们开放接口,对方会发送一些AppId和AppKey之类的数据,在我们请求接口的时候,需要把这些值和参数等信息一起生成摘要发送过去;最近项目又因其它原因,需要开放外网,于是安全部对系统一顿扫描,提出各类安全要求,本人也将近期的收获分享给大家 1)XSS原理
XSS是最常见的功能类型,其原理就是在WEB页面中嵌入恶意脚本程序,当用户在打开页面的时候,恶意的脚本程序就会在客户端的浏览器中执行;
例如:在输入框中输入以下代码
<script>alert("hello");</script>还可以将URL进行URLEncode进行编码
比如:将<,>,/进行转换为 %3cscript%3ealert(%22aaa%22)%3b%3c%2fscript%3e除了以上的方式之外,还可能转换大小写,来躲避过滤器
比如:<ScrIPt>xxx</sCRipT>2)XSS分类
3)XSS防范
常见的防范方式:
标签:java开发 设置 遇到 防止 页面 项目 生成 用户 方式
原文地址:https://blog.51cto.com/13733462/2446118
