多应用+插件架构,代码干净,二开方便,首家独创一键云编译技术,文档视频完善,免费商用码云13.8K 广告
## 什么是XSS攻击 * XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站中“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。 * 理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞。漏洞的厉害取决于攻击代码的能力。 ## 如何配置 * 比如某些接口API,请求参数是xml类型,带有<>标记,会被xss拦截过滤 * 针对这种情况,可以配置富文本过滤,具体配置如下 ~~~ jpower: xss: # 是否开启富文本过滤(如果开启,content参数名和以WithHtml结尾得参数名将不进行XSS过滤,默认位关闭) isIncludeRichText: true ~~~ * 富文本过滤默认为关闭需要配置开启,开启后`content`参数名和以`WithHtml`结尾得参数名都不会进行XSS过滤。 * 如果我们不止一个参数或者还有其他参数,我们可以对接口进行过滤,具体配置如下 ~~~ jpower: xss: # XSS不过滤得接口路径,支持通配符模式 excludes: - /html/** - /weixin ~~~ * 配置这个后,会对配置过的接口不进行XSS过滤,支持通配符配置。 ## 注意 * XSS过滤在JPower工程中会直接启用,并默认进行SQL防注入过滤。