0

我一直在研究有关持久性 XSS 攻击的安全问题,并且能够使用 fortify 分析该问题。

将未经验证的数据发送到 Web 浏览器,这可能导致浏览器执行恶意代码。

代码是用 Java 编写的。

void output(OutputStream out){
  out.write(byteData);  //byteData is a data member of the class of type byte[].
}

在上面代码片段的第 (2) 行,我收到了 xss 攻击的通知。那么我该如何验证呢?

4

1 回答 1

1

您必须先验证您的数据,然后再将其发送到您的OutputStream

void output(OutputStream out) {
    // Validate byteData code here
    out.write(byteData);
}

验证意味着检查代码是否遵守您要为其设置的规则。例如,如果您只想发送数字,您可以确保您的 byteData 在发送之前只包含数字。

于 2013-07-04T13:40:25.347 回答