我正在修復java中的跨站腳本問題。由於我是OWASP新手,有人可以幫我弄清楚如何在以下情況下使用OWASP來清理輸入。修復java中使用OWASP的跨站腳本漏洞
Enumeration<String> EnumHeader = request.getHeaderNames();
Map<String, String[]> pMap = request.getParameterMap();
Object value = request.getHeader(key);
String[] refs = (req.getParameterValues(REFS_NAME));
儘管數據驗證對防止XSS非常有幫助,但它並不一定涵蓋持久XSS的所有基礎。唯一的100%有效保護是OWASP Java編碼器項目或OWASP ESAPI的編碼器提供的正確的上下文輸出編碼。其中一個原因是對於持久性XSS,受污染的數據可能來自可能由另一個應用程序輸入或更改的數據庫,該應用程序對這些相同的數據庫表進行了插入/更新訪問,但未進行適當的數據驗證。 (也就是說,受污染的數據可能以不同於通過應用程序的其他方式進入您的系統。)所以唯一的萬無一失的解決方案是做適當的上下文輸出編碼。您已經指出的OWASP XSS預防備忘單是開始解釋所有這些問題的好地方。
你可以使用一個OS庫消毒那些字符串/對象。
實例庫:https://finn-no.github.io/xss-html-filter/
然後頁眉和參數的這些集合,你可以遍歷它們使用Java 8流,並將它們映射到新的過濾集合(即使用消毒劑庫)。
我會通過以下規則#0和規則#1開始:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet該庫的 – fgb