0

我已经使用 JSTL 标签修​​复了 Fortify 在我的 JSP 上报告的 XSS 漏洞问题。但是使用后,虽然 XSS 漏洞问题得到了解决,但它导致了一个新问题,即“XSS:验证不良”。我可以实施哪些其他可能的解决方案来解决这个糟糕的验证问题?

Fortify 建议 HTML/ XML/ URL 编码不是一个好的做法,因为代码将在运行时被解码,这仍然可能导致 XSS 攻击。

我正在使用注入spring的struts框架。我有用户可以提供输入的字段以及从数据库中读取的字段。我已经搜索了可能的解决方案,但还没有找到任何解决方案。

谢谢,迪娜

4

2 回答 2

-1

根据输出数据的位置使用正确的编码。可以在OWASP XSS 预防备忘单中找到详细信息 - 以及有关 OWASPAntiSamyJava HTML Sanitizer.

此外,可以在适当的情况下使用 白名单。

于 2013-02-25T19:59:08.883 回答
-1

使用 OWASP 编码器 Jar。Fortify 解决了我的跨站点脚本问题。

从以下 URL 下载 jar。第二个选项卡有示例。 https://www.owasp.org/index.php/OWASP_Java_Encoder_Project

片段:

<body><%= Encode.forHtml(UNTRUSTED) %></body>

http://owasp.github.io/owasp-java-encoder/encoder/apidocs/index.html?index-all.html

于 2017-05-05T18:36:31.793 回答