私はOWASPを初めて使用しているので、以下のケースでOWASPを使用して入力をサニタイズする方法を理解できますか?あなたがサニタイズするOSのライブラリを使用することができOWASPを使用したJavaのクロスサイトスクリプティングの脆弱性を修正しました。
Enumeration<String> EnumHeader = request.getHeaderNames();
Map<String, String[]> pMap = request.getParameterMap();
Object value = request.getHeader(key);
String[] refs = (req.getParameterValues(REFS_NAME));
データ検証はXSSの防止に非常に役立ちますが、必ずしも永続XSSのすべてのベースをカバーするとは限りません。 OWASP Java Encoder ProjectまたはOWASP ESAPIのEncoderが提供する適切なコンテキスト出力エンコーディングは、100%有効な保護のみです。この理由の1つが永続的なXSSの場合、汚染されたデータは、同じDBテーブルへの挿入/更新アクセス権を持っているが、適切なデータ検証を行っていない別のアプリケーションによって入力または変更される可能性のあるDBから来る可能性があります。 (つまり、汚染されたデータは、アプリケーション以外の方法でシステムに入力される可能性があります)。したがって、唯一確実な解決策は、適切なコンテキスト出力エンコーディングを行うことです。すでに指摘されているOWASP XSS予防チートシートは、そのすべてを説明する始めるのに最適な場所です。
それらの文字列/オブジェクト。
例ライブラリ:
https://finn-no.github.io/xss-html-filter/が次にヘッダーおよびパラメータのそれらのコレクションのためには、Java 8 Streamsを使用してそれらを反復処理でき、新しいフィルタコレクションにマップ(つまり、消毒剤のライブラリを使用)。
ルール#0とルール#1を次のサイトから開始します:https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet – fgb