那些遇到过的问题

防止 JSP 中的 XSS 攻击

Mar*_*dez 1 security xss jsp owasp esapi

我想防止我的 web 应用程序中的 XSS 攻击,所以我想在将用户输入的数据保存在数据库中以在另一个 JSP 页面中显示之前对表单中输入的数据进行转义,并且我在两种方法之间犹豫不决:

StringEscapeUtils.escapeHtml(),对于输入REGGAETON / SALSA给我相同的结果,但对于ESAPI.encoder().encodeForHTML()相同的输入,输出将是REGGAETON & #x2f; 莎莎舞

Tom*_*Tom 5

不要保存转义的数据,当你需要显示它时转义它

转义它的方式取决于你想显示它的上下文,所以如果你保存它转义,它只能在那个上下文中使用,而且大多数时候,转义函数不是双射的,所以你会丢失信息

对于编码它以在 html 上下文中显示它方式,两种方式接缝都是正确的。

此外,为了提高对 XSS 的保护,您应该查看 CSP(内容安全策略),它有很大帮助,尤其是对于新项目。

归档时间:

查看次数:

211 次

最近记录:

5 年,8 月 前
相关归档
什么是<required>和<rtexprvalue>用于? 42
拥有POST'able API和Django的CSRF中间件 32
如果mysql_query()失败,该怎么办? 9
来自canvas.toDataURL的SVG> PNG在Safari 9.x中引发DOM异常18安全性错误 9
MvcHtmlString.ToHtmlString()不编码HTML? 7
SSL 无需客户端证书即可工作 5
如何对JSP标签进行单元测试? 5
如何传递一个复选框值数组从一个JSP页面到另一个JSP页面 4
您如何使Maven接受无效的SSL证书? 3
如何避免"PHP注入" 2
难疑归档
JavaScript闭包如何工作? 7644
仅存储使用Git更改的多个文件中的一个文件? 2895
在JavaScript中创建多行字符串 2412
如何决定何时使用Node.js? 2198
在Android Studio中重命名包 1252
如何在PHP中使用bcrypt进行散列密码? 1230
将先前的提交分解为多个提交 1113
Django会扩展吗? 1101
我怎么知道分支是否已经合并为主分支? 1077
如何旋转Android模拟器显示? 1031