如何解决使用XSS之前如何清理URL
我正在寻找清除URL的选项,以解决可能的XSS问题。这是我的高级工作流程。
- 我们使用分析功能来保持用户的跋涉和页面旅程。
- 要将数据发送到分析,我们基于分析团队提供的Java脚本使用页内DOM注入。
- 作为徒步旅行的一部分,我们需要发送页面URI,这是我们在
jsp页面上执行的操作。
data["pageName"]="${sanitizeInput(requestScope['javax.servlet.forward.request_uri'])}";
这工作正常,并且将数据传递到分析中没有任何问题,除非有人尝试在URL中传递一些脚本数据。我发现有很多类似模式的请求
https://domainname/'%3bfunc(document.cookie)%3b'
模式是相同的,系统尝试发送相似的值。 (在“”中传递脚本)。尽管大部分内容都在CDN级别上进行了处理,我们将用户重定向到404页面,但是我仍然想在4040页面上写页面名称的同时进行处理。
sanitizeInput在内部使用Jsoup作为附加信息。有人可以帮我解决以下问题
还有其他选项可以正确处理吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
