Le soluzioni di StackOverflow per evitare che XSS nelle pagine JSP non funzionino

3

Ho una pagina JSP in cui il titolo HTML viene estratto da un parametro GET title :

<title>${title}</title>

Ovviamente, questo consente attacchi XSS. Se seguo la risposta fornita su questa pagina e provo le soluzioni

<title><c:out value="${title}"/></title>
<title>${fn:escapeXml(title)}</title>

(durante l'importazione dei rispettivi taglibs), non funziona. L'attacco di prova

https://example.com/page.jsp?title=“/><script>alert(1)</script>

funziona ancora. Cosa sto sbagliando con queste soluzioni?

    
posta PiotrChernin 15.03.2018 - 19:41
fonte

0 risposte

Leggi altre domande sui tag