共有1个答案
防止XSS有一些诡计。验证器允许您定义要接受/拒绝的输入字符。但也有不同上下文的概念,这就是编码器类的用处。在你的职业生涯中,会有这样的情况,你将被迫接受字符作为可以用来攻击浏览器的输入。
基本的ESAPI实现如下所示:根据白名单拒绝输入字符。根据输出上下文使用编码器实现...当决定“我是先为HTML编码,还是先为Javascript编码?”时,技巧部分就出现了,这两种都可能对应用程序产生影响,需要根据应用程序的需要来决定它们。例如,我有过一些应用程序要求用户输入有效的Javascript...在这些情况下,你需要非常小心。
回答第二部分:是的。到目前为止,您可能知道ESAPI,需要定义两个属性文件······properties和esapi.properties。您可以自己将它们编译到jarfile中(这需要您学习maven,所以可能不需要...)或者在运行时使用标准的-dmy.property语法指定java位置。加载异常实际上将您引导到正确的路径。
-
本文向大家介绍Django如何实现防止XSS攻击,包括了Django如何实现防止XSS攻击的使用技巧和注意事项,需要的朋友参考一下 一、什么是XSS攻击 xss攻击:----->web注入 xss跨站脚本攻击(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL
-
本文向大家介绍如何防止XSS攻击?相关面试题,主要包含被问及如何防止XSS攻击?时的应答技巧和注意事项,需要的朋友参考一下 (1) 将前端输出数据都进行转义 (2) 将输出的字符串中的\反斜杠进行转义 (3) 从url中获取的信息,防止方法是由后端获取,在前端转义后再行输出 (4) 使用cookie的HttpOnly属性,保护好cookie 详细参见:http://blog.csdn.net/fe
-
我在Checkmarx中扫描了我的项目,它显示为一个java对象的反射XSS,该对象是下面方法中的一个参数,这是checkmarx报告的错误: 方法读取数据使用查询对象位于 /src/main/java/com/认知/hap/核心/控制器/数据控制器的第 743 行.java获取查询元素的用户输入。然后,此元素的值在未经正确清理或验证的情况经代码,并最终在方法读取数据使用QueryObject 中
-
问题内容: 我有一些用户输入。在我的代码中,我确保对以下符号进行转义: OWASP指出还有更多的字符可以转义。 对于属性,我做了另一种转义: 这样可以确保所有属性都用“括起来。”这样就可以确定自己的html属性,而不是HTML本身。 问题答案: 我也使用OWASP(ESAPI)库,以转义不同显示类型的字符串,请使用: HTML(假设为jsp) 更新 ( 2017 ) 由于ESAPI编码器被认为是旧
-
问题内容: 我应该怎么做才能防止Spring MVC中的XSS?现在,我只是将输出用户文本的所有位置都放入标签或函数中,但这似乎容易出错,因为我可能会错过一个位置。 有没有简单的系统方法可以防止这种情况?也许像过滤器之类的?我通过在控制器方法上指定参数来收集输入。 问题答案: 在Spring中,你可以从标记生成的JSP页面中转义html 。这为XSS攻击提供了很多途径,并且可以通过以下三种方式自动
-
目前,api看起来像:- 员工详情:- 所以问题是要避免xss攻击 例如,如果它是这段代码