我有一个基于JSF的Web应用程序,MySQL作为DB.我已经实现了代码来防止我的应用程序中出现CSRF.
现在,由于我的底层框架是JSF,我想我不必处理XSS攻击,因为它已经被处理了UIComponent.我没有在任何视图页面中使用任何JavaScript.即使我使用,我真的需要实现代码来防止XSS攻击?
UIComponent
对于DB,我们在所有数据库交互中使用预准备语句和存储过程.
是否还需要处理其他任何事情以防止这3种常见攻击?我已经通过了OWASP网站和他们的备忘单.
我是否需要处理任何其他潜在的攻击媒介?
xss jsf sql-injection csrf owasp
我有一个textarea,我想支持一些最简单的格式化发布数据(至少,空格和换行符).
textarea
我怎样才能做到这一点?如果我不会逃避响应并保留一些html标签,那么它将是一个很大的安全漏洞.但我没有看到任何其他解决方案允许在浏览器中进行文本格式化.
所以,我可能应该过滤用户的输入.但是我怎么能这样做呢?有没有现成的解决方案?我正在使用JSF所以有没有任何智能组件可以过滤掉除html标签之外的所有内容?
java security jsf
jsf ×2
csrf ×1
java ×1
owasp ×1
security ×1
sql-injection ×1
xss ×1