大家好,欢迎来到IT知识分享网。
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。
ESAPI 安装(JAVA)
下载 ESAPI 的 Jar包 和 源码。
下载 Log4j(一定要导入这个jar包,没有会报错的!)
JAVAEE项目中,将 esapi.jar 和 log4j.jar 放到 WEB-INF 下的 lib 目录里面。
ESAPI 防护XSS跨站脚本攻击
ESAPI提供了两个相关接口 Encode、Validator 来防护XSS攻击。
Encode接口
Encode(编码器接口)包含了许多解码输入和编码输出的方法,这样处理过的字符对于各种解释器都是安全的。
ESAPI根据XSS问题的特征和产生的原因,提供了不同的接口:
HTML编码器(encodeForHTML)
alert(‘xss’)”;
HTML属性编码器(encodeForHTMLAttribute)
“>
// out
JavaScript编码器(encoderForJavaScript)
var searchValue = ;
CSS编码器(encoderForCSS)
String safe_css = ESAPI.encoder().encoderForCSS( css );
URL编码器(encodeForURL)
String safe_url = ESAPI.encoder().encodeForURL(“/?callback=”);
VBScript编码器(encodeForVBScript)
String vb = ESAPI.encoder().encodeForVBScript(“add(1)”);
复合(嵌套)编码器
var vDiv= document.createElement(‘div’);
vDiv.innerHTML =””;
document.body.appendChild(vDiv);
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/21516.html
