Garantisce l'escaping di input in JSP

2

Tutti gli input dell'utente devono essere fuggiti . Sfortunatamente, quando si usa JSP, dobbiamo farlo in modo esplicito usando Spesso gli sviluppatori inesperti usano solo $ {value}, che scrive semplicemente il valore senza fuggire.

È possibile sfuggire a tutti i valori scritti da $ {value} per impostazione predefinita?

Altrimenti, c'è uno strumento di analisi del codice statico che trova usi di $ {value} senza c: out?

    
posta Matthias M 16.03.2017 - 21:48
fonte

1 risposta

1

Tutti gli input forniti dall'utente devono essere convalidati alla voce (utilizzare Hibernate Validator con l'annotazione @SafeHtml), in modo da non riempire il database con potenziali XSS che potrebbero distruggere un'altra applicazione o versioni successive della stessa applicazione

Potresti usare il mio strumento grezzo per convalidare tutti i GET & Parametri POST e nomi e valori dell'intestazione:

link

Avviso: non convalida i corpi delle richieste

Anche i dati forniti dall'utente dovrebbero essere sfuggiti all'uscita

Puoi utilizzare questo risolutore della lingua di espressione per "auto" per sfuggire a tutte le pagine JSP link

    
risposta data 16.03.2017 - 22:36
fonte

Leggi altre domande sui tag