web安然评测处理筹划与代码编写标准.docVIP

四川电科院信息系统 《代码安全编写规范》 PAGE 北京恒华伟业科技股份有限公司 ΧΧ项目软件需求规格说明书 PAGE I WEB安全评测解决方案 与代码编写规范 北京恒华伟业科技股份有限公司 2013年10月 目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc369528312 1 Xss注入简介 PAGEREF _Toc369528312 \h 2 HYPERLINK \l _Toc369528313 1.1 一个简单的例子 PAGEREF _Toc369528313 \h 2 HYPERLINK \l _Toc369528314 1.2 网上的xss讲解 PAGEREF _Toc369528314 \h 3 HYPERLINK \l _Toc369528315 2 防御xss的七条原则 PAGEREF _Toc369528315 \h 9 HYPERLINK \l _Toc369528316 2.1 前言 PAGEREF _Toc369528316 \h 9 HYPERLINK \l _Toc369528317 2.2 原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码 PAGEREF _Toc369528317 \h 10 HYPERLINK \l _Toc369528318 2.3 原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTML Entity编码 PAGEREF _Toc369528318 \h 11 HYPERLINK \l _Toc369528319 2.4 原则3：在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码 PAGEREF _Toc369528319 \h 12 HYPERLINK \l _Toc369528320 2.5 原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码 PAGEREF _Toc369528320 \h 14 HYPERLINK \l _Toc369528321 2.6 原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码 PAGEREF _Toc369528321 \h 16 HYPERLINK \l _Toc369528322 2.7 原则6：在将不可信数据插入到HTML URL里时，对这些数据进行URL编码 PAGEREF _Toc369528322 \h 17 HYPERLINK \l _Toc369528323 2.8 原则7：使用富文本时，使用XSS规则引擎进行编码过滤 PAGEREF _Toc369528323 \h 18 HYPERLINK \l _Toc369528324 3 项目中防御xss的具体措施 PAGEREF _Toc369528324 \h 21 HYPERLINK \l _Toc369528325 3.1 在jsp中的输出防御 PAGEREF _Toc369528325 \h 21 HYPERLINK \l _Toc369528326 3.1.1 stuts标签输出防御 PAGEREF _Toc369528326 \h 21 HYPERLINK \l _Toc369528327 3.1.2 Esapi标签输出防御 PAGEREF _Toc369528327 \h 21 HYPERLINK \l _Toc369528328 3.1.3 Java输出代码防御通过%=temp%的方式 PAGEREF _Toc369528328 \h 22 HYPERLINK \l _Toc369528329 4 防御url中的xss代码注入攻击办法 PAGEREF _Toc369528329 \h 23 HYPERLINK \l _Toc369528330 5 控制通过输入非登录页的url进入系统功能 PAGEREF _Toc369528330 \h 24 HYPERLINK \l _Toc369528331 5.1.1 Referer验证过滤器 PAGEREF _Toc369528331 \h 24 HYPERLINK \l _Toc369528332 5.1.2 window.open及window.location.href=特殊处理 PAGEREF _Toc369528332 \h 24 HYPERLINK \l _Toc369528333 6 系统日志组件的调用方法 PAGEREF _Toc369528333 \h