其中一个JSP文件中存在XSS漏洞,我们在其中使用了隐藏字段。因此,以下隐藏字段容易受到xss的攻击:
<input type="hidden" name="input1" value="<%=dummyInputValue%>"/>
<input type="hidden" name="input2" value="<%=dummyInputValue1%>"/>
其中dummyInputValue来自请求对象..如下所示request.getParameter(“dummyInputValue”)
我不知道如何修复此字段以避免xss漏洞。请帮助我。
通过访问以下URL(示例):
触发XSS需要alt + shift + x(窗口)或ctrl + alt + x(max)。
在阅读了Jozef给出的评论后,我解决了这个问题。使用JSTL标记在JSP中阻止XSS。这是通过更改代码如下
<%@ taglib uri = "http://java.sun.com/jsp/jstl/core" prefix = "c" %>
<input type="hidden" name="input1" value="<c:out value="${dummyInputValue}"/>"/>