Come prevenire l'XSS riflesso con Java Struts Framework? [chiuso]

Per quanto ho capito, hai un XSS riflesso su una pagina JSP (la domanda non specifica appieno quale tecnologia, ma JSP è una buona scommessa se usi Struts 1)

Probabilmente la tua soluzione racchiude probabilmente i dati potenzialmente pericolosi con lo standard

<c:out value="${dangerousData}" /> 

tag, che sfugge al contenuto XML (e quindi elimina il tuo spiacevole XSS)

Inoltre, lo standard

${fn:escapeXml}

fornisce una sicurezza equivalente.

Devi usare quello giusto a seconda di come usi effettivamente i dati. Se si visualizzano semplicemente i dati, utilizzare c:out .

====== Aggiornamento dopo il commento dell'OP =====

Questa soluzione funziona. Facciamo un esempio: si ha un JSP con la seguente riga, che è soggetta a XSS:

<p>Hello, dear ${username}</p>

la variabile ${username} viene sostituita dal contenuto del parametro username in una richiesta (tipico XSS riflesso).

Quindi la richiesta www.yoursite.com/somepage?username=<script>alert('XSS');</script>

proverebbe in effetti l'efficacia dell'XSS, con una casella di avviso che scoppia come prova del concetto.

Se sostituisci il tuo codice con il seguente (come descritto nella soluzione):

<p>Hello, dear <c:out value="${username}" /></p>

, il <script>alert('XSS');</script> verrebbe visualizzato nella pagina e non verrebbe eseguito, rendendo quindi gli utenti sicuri.

Questa è la best practice quando si ha a che fare con XSS date le scelte tecnologiche.

Potresti esaminare: link per avere un'idea generale su quali cose causano l'XSS. Forse la regola n. 5 potrebbe essere ciò che vuoi considerare. Anche il progetto OWASP Secure code ha un paio di esempi su Struts: link (la versione 1 è scaricabile gratuitamente).