web安全评测解决方与代码编写规范.docVIP

WEB安全评测解决方案 与代码编写规范 北京恒华伟业科技股份有限公司 2013年10月 目录 1 Xss注入简介 2 1.1 一个简单的例子 2 1.2 网上的xss讲解 3 2 防御xss的七条原则 9 2.1 前言 9 2.2 原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码 10 2.3 原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码 11 2.4 原则3：在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码 12 2.5 原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码 14 2.6 原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码 16 2.7 原则6：在将不可信数据插入到HTML URL里时，对这些数据进行URL编码 17 2.8 原则7：使用富文本时，使用XSS规则引擎进行编码过滤 18 3 项目中防御xss的具体措施 21 3.1 在jsp中的输出防御 21 3.1.1 stuts标签输出防御 21 3.1.2 Esapi标签输出防御 21 3.1.3 Java输出代码防御通过%=temp%的方式 22 4 防御url中的xss代码注入攻击办法 23 5 控制通过输入非登录页的ur