Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我们需要在我们的 Struts 应用程序中添加反 XSS 支持。最具体地说,架构师要求所有用户输入必须在存储到数据库之前“清理”。由于我不想重新发明方轮,我可以为此使用哪个 Java 库?放在哪里?理想情况下,它应该是可配置的(要检查哪些输入字段,而不是请求中的所有字段)并且速度很快。我的第一个想法是 Struts Validator。
在此先感谢 Lluis
我建议您查看 OWASP 的ESAPI 项目。它已经开发了一年多,即将发布 2.0。
要转义存储在数据库中的值,请查看 Encoder.encodeForSQL() 方法(参考实现)。
对于输入验证,请查看 Validator(参考实现)。
注意:我的理解是,Stinger 和 CSRFGuard 等旧项目提供的功能已包含在 ESAPI 中。
如果你在谷歌上搜索 XSS Java 过滤器,你会想出许多开源解决方案,比如这个.
您还可以查看OWASP 验证项目。