XSS转码 && struts2 property标签的bug

struts2：

<s:property value="name" escape="false"/>

EL表达式：

jsp 2.0中的 ${todo.description}是不能防止xss的，如果输入脚本就可能导致xss攻击。
解决方法：
这种表达式只能用作tag的属性，而不能显示，
使用<c:out value="${todo.description}"/>就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)}
如果想不escape,使用<c:out value="${todo.description}" escapeXml="false"/>

　　

原文链接：http://blog.csdn.net/d8111/article/details/45249805

一。了解背景

下面两张图，比较html转义和js的转义。

一定要区分清楚的是，内容回写页面，一定要做的是JS转义！！而不仅仅是html转义

从上面两张图可以看出，js里面需要转义到的 单引号'，反斜杠\ 均不在html转义字符之列！（如果针对XSS的话，只要对

<

>

'

"）

二。<s:property value="xx"/>的稀烂之处

1.这个标签默认是带了html转义的，即完全等同于<s:property value="name" escape="true"/>

2.正确XSS防范做法，应该是后台转义后存储，也就是说存到DB里面的数据，就应该是处理过的！（这里的转义是html&js的综合体）：

1. map.put('<', "&lt;");
2. map.put('>', "&gt;");
3. map.put('\'', "'");
4. map.put('\"', "&quot;");
5. map.put('&', "&amp;");

在DB层无sql注入防范的时候，甚至需要是三位一体！

拿上面那个例子来说，用户输入name，DB应该存储下面的内容

1. &lt;script&gt;alert(&#39;xss&#39;)&lt;/script&gt;

但是很不幸，这串字符使用s:property直接输出到页面上，会因为&符号又会促发一次html escape，导致显示问题

这里就只能继续恶心一把了，每个标签写上：<s:property value="name" escape="false"/> ,徒劳耗费键盘。(这种安全的内容回写比较推荐使用${name}的ongl方式直接输出)

三。严防死守

1.org.springframework.web.util.HtmlUtils, spring自带了一个类来处理，其本质需要注意，基于Char的过滤

看看源代码应该很容易理解

1. StringBuffer escaped = new StringBuffer(input.length() * 2);
2. for (int i = 0; i < input.length(); ++i) {
3. char character = input.charAt(i);
4. String reference = characterEntityReferences.convertToReference(character);
5. if (reference != null) {
6. escaped.append(reference);
7. }
8. else {
9. escaped.append(character);
10. }

a.使用String.replace(xx)的方式是搞不定的。举例来说，字符j的表示方式有下面15种之多：

1. \6A\06A\006A\0006A\00006A            //java形式的16进制编码
2. &#106;&#0106;&#00106;&#000106;&#0000106;           //十 进制编码
3. jjjjj           //十 六进制编码

b.使用html的过滤方式也是99% OK的，但是像mhtml这样的漏洞，还需要过滤%0d%0a

c.指望过滤<>,过滤scrpit串这些明文，也是靠不住的。

附件是查资料找到的文档，包括：强烈建议一睹为快

1.浅析XSS(Cross Site Script:跨站式攻击)漏洞原理（转）

2.Ajax hacking with XSS

 

介绍了诸如此类的注入方式，属于眼界开阔篇

1. <img src="javascript:alert('XSS');">示例：
2. <img src="&#106&#97&#118&#97&#115&#99&#114&#105&#112&#116&#58&#97&#108&#101&#114&#116&#40&#39&#88&#83&#83&#39&#41&#59"> //10进制转码 如图三

1. <img style="xss:expr/*XSS*/ession([code])">            //css的注释符号 为/**/，其中的内容会被忽略
2. 　　<style>@im\port'\ja\vasc\ript:alert("XSS")';</style>            //css中忽略的符号还有“\”

~~~~~~~~~~~~~~分割~~~~~~~~~~~~~~

p.s.

1.用Jquery的text()取"&lt;script&gt;alert('xss')&lt;/script&gt;"，会被直接读成<script>alert('xss')</script> 。

2. 这个串如果直接使用$("#xxyy").html()输出，会产生alert框。

3.正确的做法是使用innerHTML函数，可以避免字符串中js被执行：document.getElementById("xxyy").innerHTML=