0

我进行了很多搜索,但没有找到一个好的解决方案来阻止我的数据库在其中插入脚本。

我曾尝试过 AntiSamy 但不知道如何为其编写策略文件,我也尝试过模式匹配,它正在检测我定义的模式但面临的问题

 <a href="javscript:something"></a>

我在定义的模式中有模式(“javascript:”),但它与上面的字符串不匹配。因为这是我使用 XSS 的经验,所以我不太熟悉如何为给定字符串编写模式。如上所述,如果我想匹配任何字符串中包含“javascript:”的模式,那么模式将是什么。

并告诉我是否有任何易于使用的 java 库可用于具有基本匹配的反 XSS。

4

2 回答 2

1

REST 中的 XSS,我假设您正在渲染一些嵌入了一些用户提供的数据的 html?否则不是 XSS 而是一些 JSON/XML 注入?无论您是否要过滤用户提供的输入,您都可以使用来自 apache commons 的StringEscapeUtils 。

我建议您访问 OWASP 并至少阅读:XSS Cheat Sheet

于 2013-06-25T17:40:17.970 回答
0

我不知道您的要求,但您不能使用 httpOnly cookie。这将防止通过恶意 javascript 注入的 XSS,因为这些 cookie 无法被 javascript 访问。

于 2013-06-25T07:33:57.947 回答