前几天有个新手朋友找我哭诉,说他做的留言板总出现乱码。用户一输入”<“符号,整个页面排版就崩得亲妈都不认识。更可怕的是,有人居然能在留言里插入超链接!你们是不是也遇到过这种情况?这其实就是XML注入在作妖。今天咱们就来盘盘JSP里那个救命的fn:escapeXml函数。
先说说这个坑是怎么来的。假设你有个显示用户名的需求,用户输入了”alert(‘hack’)”。要是不处理直接输出,浏览器真会执行这段脚本——这可比页面乱码严重多了。我去年就见过一个电商网站,因为没做转义处理,商品详情页被挂满了菠菜广告。
这时候fn:escapeXml就该登场了。这货是JSTL标签库里的工具人,专门帮你把特殊字符转成安全格式。比如把”<“变成”<“,”>”变成”>”。说白了就是给危险字符穿防弹衣,让浏览器只显示不执行。
具体怎么用呢?分三步走: 1. 先在JSP页面顶部写上<%@ taglib prefix=”fn” uri=”http://java.sun.com/jsp/jstl/functions” %> 2. 在需要显示用户输入的地方套上${fn:escapeXml(要转义的内容)} 3. 重点检查所有从用户输入获取数据的地方,特别是留言、评论、搜索框这些高危区域
举个栗子,原来的危险写法是:
${userInput}
改成安全版:
${fn:escapeXml(userInput)}
你可能要问:为啥非得用这个函数?我自己写个替换方法不行吗?也不是不行,但容易漏掉转义字符。有次我手动处理时忘了转义单引号,结果用户输入个’O’Neil,页面直接报错。用官方函数就省心多了,人家早就把XML规范里要转义的字符都考虑周全了。
还有人担心性能问题。其实现在服务器处理这种转义就跟玩儿似的,与其担心这点性能损耗,不如想想页面被注入的后果——轻则影响用户体验,重则数据泄露吃官司。上周刚有个新闻,某论坛因为没做转义处理,用户个人信息被批量盗取。
那是不是所有输出都要套这个函数?也不尽然。比如你确定内容来自自己系统的固定数据(比如后台配置的运费说明),或者已经用其他方式处理过的内容,可以不用二次转义。但凡是用户能控制输入的地方,宁可错杀一千也别放过一个。
小编觉得,安全这事就像戴安全套,虽然用的时候有点麻烦,但真出事时能救命。下次看到页面里冒出奇怪符号,别急着刷新页面,先检查下是不是忘了给用户输入穿”防护服”。毕竟在这个遍地脚本小子的时代,fn:escapeXml就是你最基础的防身术。
本站文章由SEO技术博客撰稿人原创,作者:阿君创作,如若转载请注明原文及出处:https://www.ainiseo.com/hosting/25089.html
