• 日期: 2026-06-07
  • 标签: 常规

下面是一些可以用来防止 XSS 攻击的 Java 代码技巧:

  1. 使用 HTML 转义

在输出到 HTML 页面之前,使用 Java 内置的 HTML 转义工具类将所有特殊字符转义成 HTML 实体,例如将 '<' 转义成 '<',将 '>' 转义成 '>',将 '&' 转义成 '&' 等等。这样可以防止恶意用户插入 HTML 标签和 JavaScript 代码。

例如:

String input = '<script>alert('XSS');</script>';
String safeInput = StringEscapeUtils.escapeHtml4(input);
System.out.println(safeInput);

输出结果为:

&lt;script&gt;alert('XSS');&lt;/script&gt;
  1. 使用正则表达式过滤输入

使用正则表达式过滤输入,只允许特定的字符或字符集合,例如只允许字母、数字和空格,过滤掉所有其他字符。这样可以防止恶意用户插入特殊字符和代码。

例如:

String input = '<script>alert('XSS');</script>';
String safeInput = input.replaceAll('[^\w\s]', '');
System.out.println(safeInput);

输出结果为:

scriptalertXSSscript
  1. 使用安全框架

使用安全框架,例如 Spring Security 和 Apache Shiro 等,可以提供一系列安全措施,包括防止 XSS 攻击。这些框架可以自动对输入进行转义和过滤,同时提供其他安全功能,例如防止 CSRF 攻击和 SQL 注入攻击等。

例如:

使用 Spring Security:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers('/', '/home').permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage('/login')
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .csrf()
                .disable()
            .headers()
                .xssProtection()
                .and()
            .contentSecurityPolicy('script-src 'self');
    }
}

使用 Apache Shiro:

@RequiresUser
public class MyController {
    @RequestMapping('/my-page')
    public String myPage(Model model) {
        String input = '<script>alert('XSS');</script>';
        String safeInput = StringEscapeUtils.escapeHtml4(input);
        model.addAttribute('input', safeInput);
        return 'my-page';
    }
}
  1. 使用模板引擎

使用模板引擎,例如 Thymeleaf 和 Freemarker 等,可以将 HTML 页面和 Java 代码分离,避免恶意用户插入 HTML 标签和 JavaScript 代码。模板引擎会自动对输出进行转义,防止 XSS 攻击。

例如:

使用 Thymeleaf:

<!DOCTYPE html>
<html xmlns:th='http://www.thymeleaf.org'>
<head>
    <title>My Page</title>
</head>
<body>
    <div th:text='${input}'></div>
</body>
</html>

使用 Freemarker:

<!DOCTYPE html>
<html>
<head>
    <title>My Page</title>
</head>
<body>
    <div>${input?html}</div>
</body>
</html>
Java 代码防范 XSS 攻击的最佳实践

原文地址: https://www.cveoy.top/t/topic/fYuY 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录