java - OutputStream.write() 期间的持久性 XSS 攻击

Question

我一直在研究有关持久性 XSS 攻击的安全问题，并且能够使用 fortify 分析该问题。

将未经验证的数据发送到 Web 浏览器，这可能导致浏览器执行恶意代码。

代码是用 Java 编写的。

void output(OutputStream out){
  out.write(byteData);  //byteData is a data member of the class of type byte[].
}

在上面代码片段的第 (2) 行，我收到了 xss 攻击的通知。那么我该如何验证呢？

score 1 · Accepted Answer

您必须先验证您的数据，然后再将其发送到您的OutputStream

void output(OutputStream out) {
    // Validate byteData code here
    out.write(byteData);
}

验证意味着检查代码是否遵守您要为其设置的规则。例如，如果您只想发送数字，您可以确保您的 byteData 在发送之前只包含数字。

1 回答 1