Come convalidare lato server in Java per prevenire XSS? [chiuso]

Naviga le tue risposte
3

Quando utilizzo il metodo Ottieni e intercetto la richiesta con qualsiasi strumento proxy. quindi Cross site scripting a causa dell'assenza di convalide lato server. Ma nel caso del metodo post, poiché sappiamo che i dati fluiscono nel corpo della richiesta e quando io intercetto qualsiasi parametro del corpo con lo script, allora di nuovo XSS viene eseguito.

Voglio sapere ho bisogno di fare convalide lato server su ogni schermata o è la loro cosa globale che può salvarmi da XSS. Sto usando Java J2

    
posta Ayush3g 25.11.2013 - 16:25
fonte

2 risposte

3

Il foglio cheat OWASP ha una serie di suggerimenti per mitigare gli attacchi XSS.

Se hai già un framework che stai utilizzando (ad esempio, Spring o Struts), potrebbero avere alcuni meccanismi di protezione che possono essere configurati.

Se stai cercando un framework add-on, considera OWASP ESAPI o OWASP Progetto Java Encoder .

    
risposta data 25.11.2013 - 16:43
fonte
0

Get e Post sono solo i metodi utilizzati da HTTP per inviare dati al server. Generalmente viene osservato XSS quando i dati non attendibili ricevuti dal client vengono riflessi dal server senza sterilizzazione. Questo è indipendente dall'uso get o post.

I dati non fidati sono i dati provenienti dal lato client che possono essere modificati dal client (questo include campi nascosti e campi di intestazione HTTP).

La convalida lato server è una buona prima linea di difesa contro XSS e dal momento che stai usando java potresti voler scrivere un filtro che esegue validazioni per tutte le richieste. Il modo migliore per proteggere da XSS è l'uso della codifica. Questi collegamenti possono aiutare

Introduzione XSS

Cheatsheet

Codifica HTML per la protezione contro XSS

    
risposta data 26.11.2013 - 04:22
fonte

Leggi altre domande sui tag

Estrazione del userid GPG dal file della chiave pubblica? Rintracciare la fonte degli attacchi e-mail