除了 OWASP XSS 过滤软件,还有其他的方法可以防止 XSS 攻击吗?如果可以在 apache 级别进行预防,我需要建议。我不是安全专家,所以需要详细信息。谢谢你的帮助
问问题
2391 次
2 回答
2
当数据显示给最终用户时,表示层会出现 XSS 问题。因此,在 apache 级别防止这种情况不是一种有效的方法。
OWASP ESAPI 是一个库(不是过滤器软件),它作为 API 提供 XSS 保护以在表示层中对数据进行编码。每当要显示受用户输入影响的内容时,都应应用适当的编码。例如,OWASP XSS 预防备忘单有以下 Javascript 上下文示例:
String safe = ESAPI.encoder().encodeForJavaScript( request.getParameter( "input" ) );
这一个用于“HTML 属性”上下文:
String safe = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( "input" ) );
正确的编码因当前上下文(html、html 属性、javascript 等)而异。
如果您不想使用 OWASP 库,您可以使用其他库(如apache.commons.StringEscapeUtils. 但是您需要非常小心地为您的上下文选择正确的方法。
于 2014-03-20T12:43:28.073 回答
0
另一种方法是执行动态应用程序扫描测试 (DAST) 导出过滤器,然后将其导入 Web 应用程序防火墙。
Web 应用程序防火墙可以部署为 Apache 服务器的一部分。ModSecurity 就是这种防火墙的一个例子
于 2014-03-21T00:08:55.230 回答