0
String safeOutput = ESAPI.encoder().encodeForHTML(request.getParameter("temp"));
以上不起作用,它不驗證。 (插入所有需要的罐子並導入所有文件)。那麼我們可以直接使用輸出驗證嗎?我們可以做輸出驗證而無需在esapi中進行輸入驗證嗎?
A
回答
1
驗證輸入
我會用Hibernate驗證的@SafeHtml註釋:
class MyEntity {
@SafeHtml
private String title;
...
}
不編碼輸入,驗證它。您想要阻止數據庫中的XSS或可能的XSS。
您可以驗證控制器和/或存儲庫中的輸入。
編碼輸出
使用OWASP的Java Encoder Project。在JSP中,你可以這樣做:
<e:forHtml value="${attr}" />
+0
是否有JPA規範或Hibernate獨有? – avgvstvs
+0
Hibernate Validator是Bean Validation 1.1的參考實現。 –
0
你貼的代碼是不是驗證代碼。這是輸出轉義。如果您想驗證的一段代碼,您要使用的許多ESAPI.validator().getValidInput()方法,在結合validation.properties.
同樣適用,如果你的想法是做輸出驗證一個,不這樣做。原則上這意味着你會在應用程序中接受惡意數據,然後在輸出時只檢查它的惡意。不要讓它進入你的應用程序!退出輸出。 總是根據上下文逃避輸出!
This answer給出了四個如何考慮輸出轉義的例子 - 不要忘記你的上下文!接受的答案也指導您提供更完整的解決方案來處理XSS。
相關問題
- 1. Struts2驗證 - 無輸入驗證
- 2. 應該輸入驗證重做以保證安全嗎?
- 3. 我們可以在ESAPI驗證器方法中使用黑名單嗎?
- 4. 輸入驗證
- 5. 驗證輸入
- 6. 驗證輸入
- 7. 驗證輸入
- 8. 在用戶輸入驗證 - Grails驗證
- 9. 我可以改進我的驗證嗎?
- 10. 無法驗證輸入
- 11. 難以驗證textarea輸入
- 12. 我們是否需要驗證jqgrid中的輸入?
- 13. 在哪裏做輸入驗證
- 14. 如何正確進行輸入驗證
- 15. 用動態輸入進行Jquery驗證
- 16. 在AngularJS中輸入驗證
- 17. 在php中輸入驗證
- 18. MooTools可以在asp.net中使用驗證器輸入嗎?
- 19. 我可以使用JsonCpp部分驗證JSON輸入嗎?
- 20. 使用esapi驗證Web表單中的輸入文本
- 21. 無法在PROLOG中驗證輸入
- 22. 驗證輸入框
- 23. 輸入驗證angular2localization
- 24. 驗證EditText輸入
- 25. HTML5輸入驗證
- 26. Settings.bundle,輸入驗證
- 27. 輸入驗證Silverlight
- 28. C++輸入驗證
- 29. Matlab - 輸入驗證
- 30. Javascript輸入驗證
你會得到什麼錯誤信息?它如何「不驗證」? – gustafc