2
在我的Grails應用程序,我正在從params提取文本,並將它作爲我的域名查詢參數:如何防止Grails的應用XSS攻擊
例子:
def color = Colors.findByName(params.colorname)
我想象有人可以撥打params.colorname參數來針對我的mysql數據庫運行錯誤的查詢。
什麼是一些好的做法,以防止這樣的事情?
A
回答
5
在視圖中呈現可能包含XSS攻擊的字段時,需要將其編碼爲HTML。你應該讓所有包含用戶輸入的字段都被編碼。所有的標準Grails標籤都是用HTML編碼的。如果您在視圖中使用${},那麼您可能會遇到麻煩。您需要手動將其編碼爲${colorname.encodeAsHTML()},或者使用類似fieldValue的標籤(如果它是一個bean屬性)。
您還可以在Config.groovy中設置grails.views.default.codec = "html"的全局默認編解碼器。
小心雙重編碼,並確保您在自定義標記中將其編碼爲HTML。
您還引用了SQL注入攻擊,它與XSS攻擊不同。如果您正在編寫自己的SQL或HQL並直接將用戶輸入內插到SQL/HQL中,那麼您只會面臨SQL注入的風險。這意味着要做Colors.executeQuery("from Colors where name like ?", params.colorname)而不是Colors.executeQuery("from Colors where name like $params.colorname")。
相關問題
- 1. Json.Net Wrapper防止Xss攻擊
- 2. angularjs防止XSS攻擊
- 3. PHP:如何完全防止XSS攻擊?
- 4. 防止WCF調用中的XSS攻擊
- 5. XSS攻擊防範
- 6. XSS攻擊防護
- 7. 防止Magento中的XSS攻擊
- 8. 防止SQL注入和XSS攻擊
- 9. 如何在使用window.location.toString()時防止XSS攻擊
- 10. 如何使用轉義防止XSS攻擊?
- 11. 如何清理Java中的HTML代碼以防止XSS攻擊?
- 12. 在grails中防止CSRF攻擊?
- 13. 如何防止XXE攻擊
- 14. 如何防止在src等屬性中發生XSS攻擊?
- 15. 使用Javascript的CreateElement時防止XSS攻擊
- 16. 使用PHP來防止圖像內的XSS攻擊
- 17. 預防XSS攻擊的新方法
- 18. 如何避免XSS攻擊
- 19. 存儲生成的HTML並防止Rails 3中的XSS攻擊
- 20. 防止XSLT生成的內容中的XSS(和其他攻擊)
- 21. 防止XSRF攻擊GWTP應用程序
- 22. 輕鬆防止XSS或JavaScript相關的攻擊
- 23. 防止PHP中的URL編碼XSS攻擊
- 24. 我需要在HTML標籤屬性,以防止XSS攻擊
- 25. HTML編碼能夠防止各種XSS攻擊嗎?
- 26. 如何防止從外部網站渲染圖像時的XSS攻擊
- 27. 如何防止ajax應用程序中的CSRF攻擊
- 28. 如何防止ASP.NET MVC應用程序中的DoS攻擊?
- 29. 如何防止重播攻擊?
- 30. 如何防止暴力攻擊?
我相信你正在考慮[SQL注入](http://en.wikipedia.org/wiki/Sql_injection)而不是[XSS](http://en.wikipedia.org/wiki/Cross-site_scripting) ? – hsan 2013-02-28 22:09:38
Html清理插件可以幫助消除用戶輸入的消毒http://nimavat.me/blog/sanitize-user-input-with-html-cleaner-plugin – 2017-08-10 05:52:20