为了逃避跨站点脚本攻击,我必须清理/验证来自 RequestBody 的 java 对象。我可以使用编码器(来自 OWASP)对整个 java 对象进行编码吗?似乎编码器只会编码字符串并且不能接受对象。我在很多地方都有类似的问题,我应该处理这个问题。
有没有办法对整个对象进行消毒以避免跨站点脚本问题?
问问题
4938 次
1 回答
1
正如您所注意到的,为防止 XSS(跨站点脚本)而对输入进行清理仅与字符串相关。编码其他类型要么是不可能的,要么是没有意义的。
为了更好地理解它,你需要真正理解 XSS 的机制和攻击向量。我建议从这里开始:OWASP XSS
为了解决您的问题,创建一个自定义方法是有意义的,该方法在从请求中获取对象后,通过遍历其所有字符串(不要忘记列表和其他数据结构中的字符串)对其进行清理并使用 OWASP 对其进行编码编码器。
祝你好运!
于 2016-09-09T09:20:34.850 回答