2
我們需要在我們的Struts應用程序中添加反XSS支持。最具體地說,架構師要求所有的用戶輸入必須在存儲到數據庫之前被「消毒」。由於我不想重塑方形輪,我可以使用哪種Java庫?並把它放在哪裏?理想情況下,它應該是可配置的(哪些輸入字段檢查,而不是請求中的所有字段)並且快速。我的第一個想法是Struts驗證器。如何使用Struts防止XSS漏洞
在此先感謝 聖路易斯
A
回答
2
如果SEACH谷歌的XSS過濾器的Java,你會想出許多開源解決方案,如本one。你可以看看OWASP validation project。
3
我建議你看看OWASP的ESAPI project。它已經開發了一年多了,正在接近2.0版本。
對於轉義存儲在數據庫中的值,請查看Encoder.encodeForSQL()方法(reference implementation)。
對於輸入驗證,請查看驗證器(reference implementation)。
注意:我的理解是,舊版項目(如Stinger和CSRFGuard)提供的功能正在包含在ESAPI中。
相關問題
- 1. 如何防止wordpress站點中的XSS漏洞
- 2. XSS漏洞
- 3. XSS漏洞
- 4. 防止XSS漏洞的措施(如前幾天的推特)
- 5. 如何利用HTTP頭XSS漏洞?
- 6. 如何解決JavaScript上的XSS漏洞?
- 7. 發生XSS漏洞,該如何解決?
- 8. XSS中的常見漏洞?
- 9. XSS漏洞:<wslite>
- 10. Struts2的Freemarker的XSS漏洞
- 11. 防止格式化字符串漏洞
- 12. 防止後退按鈕漏洞? PHP
- 13. 用PHP防止XSS
- 14. 用strip_tags()防止XSS?
- 15. PHP防止xss
- 16. 使用express JS的JSON漏洞防護
- 17. 避免XSS漏洞 - 白名單?
- 18. XSS漏洞腳本標記編碼
- 19. 解決XSS漏洞問題C#
- 20. PHP腳本中的XSS漏洞
- 21. NSURL POST與iOS的XSS漏洞
- 22. 如何解決地方性XSS漏洞在Java Web應用
- 23. 如何利用HTTP「主機」頭XSS漏洞?
- 24. HTML編碼是否阻止XSS安全漏洞?
- 25. 如何防止SQL Server中的臨時身份漏洞
- 26. 的execve如何防止漏洞比系統命令
- 27. 這個漏洞叫什麼和如何防止?
- 28. glibc fnmatch漏洞:如何揭露漏洞?
- 29. 是否可以在NetBeans中使用FindBugs找到XSS漏洞
- 30. 如何避免ASP.Net(MVC)中的XSS漏洞?
我覺得這更像是一個編程問題。這種衛生應該在應用程序的客戶端和數據層完成。 – 2009-05-05 16:29:22