Tutti gli input dell'utente devono essere fuggiti . Sfortunatamente, quando si usa JSP, dobbiamo farlo in modo esplicito usando Spesso gli sviluppatori inesperti usano solo $ {value}, che scrive semplicemente il valore senza fuggire.
È possibile sfuggire a tutti i valori scritti da $ {value} per impostazione predefinita?
Altrimenti, c'è uno strumento di analisi del codice statico che trova usi di $ {value} senza c: out?
Tutti gli input forniti dall'utente devono essere convalidati alla voce (utilizzare Hibernate Validator con l'annotazione @SafeHtml), in modo da non riempire il database con potenziali XSS che potrebbero distruggere un'altra applicazione o versioni successive della stessa applicazione
Potresti usare il mio strumento grezzo per convalidare tutti i GET & Parametri POST e nomi e valori dell'intestazione:
Avviso: non convalida i corpi delle richieste
Anche i dati forniti dall'utente dovrebbero essere sfuggiti all'uscita
Puoi utilizzare questo risolutore della lingua di espressione per "auto" per sfuggire a tutte le pagine JSP link