我有使用 wicket 框架的 J2EE 项目。我想知道如何防止检票口中的 javascript 注入?
问问题
1245 次
2 回答
6
尽管我认为您提出问题的方式不值得(没有细节,没有背景,没有示例问题陈述,暗示对注射的敏感性等),但我从优秀的Wicket in Action 中挖掘了一些细节:
Wicket 默认是安全的
您永远不必担心 14 岁的孩子会尝试破解您的 Web 应用程序。为此,他们必须劫持会话,然后猜测与会话和相关组件路径相关的正确页面标识符和版本号。你必须是一个坚持不懈的黑客才能实现这一目标。您可以通过使用 CryptedUrlWebRequestCodingStrategy 等对请求进行加密,使您的 Wicket 应用程序比默认设置更加安全。
于 2009-08-02T00:34:07.270 回答
0
默认情况下,所有 Wicket 组件都会转义字符串(通过标签、文本字段等),这避免了与 javascript 注入相关的最常见问题。
但是,如果您component.setEscapeModelStrings(false)出于某种原因禁用此行为 ( ) 或创建自定义呈现的组件(如果您将标记直接写入输出),则应采取适当的措施。
于 2010-06-09T09:06:27.597 回答