1

我的日志记录有点进退两难。我已将ESAPI.properties日志选项设置如下:

LogLevel=INFO
LogEncodingRequired=true

在我的应用程序中,如果我调用 ESAPI.getLogger(MyClass.class).info(Logger.USABILITY, true, message),它将打印出带有编码字符的消息(如果有任何这些 <、>、&、'、" 等)。

问题是,我将打印出日志的消息将包含这些字符,并且上面的 log.info 调用将弄乱日志与所有编码字符的外观。

问题:如果我设置LogEncodingRequired=false(然后按原样输出消息),是否会增加我的日志文件(可以在 Web 浏览器中查看)易受 XSS 攻击的可能性?

4

1 回答 1

0

听起来您正在使用未正确编码其输出的基于 Web 的工具查看日志,或者正在 Web 浏览器中查看原始 Web 日志。如果您没有正确验证用户提供的数据进入应用程序(然后将其写入这些日志),那么修改此值肯定会增加 XSS 的可能性。这也可能导致日志注入。

于 2015-04-01T19:46:14.863 回答