私たちはクロスサイトスクリプティングのAEMアプリケーションに問題があります。リクエストを提出する前にスクリプトを確認することにしました。サーバー側(Java)のSOAP要求に使用可能なスクリプトがあるかどうかを確認するにはどうすればよいですか。これは、クロスサイトスクリプティングの問題を回避するための正しいソリューションですか?jsonリクエストにスクリプトが挿入されているかどうかを確認するにはどうすればいいですか?
1
A
答えて
2
これは非常に広い質問です。アーキテクチャや実装の詳細がわからないため、実装の詳細を提供することはできません。あなたは何も解決しませんフォームを送信する前に、JSを使用して、唯一のブラウザで「スクリプトをチェック」している場合
- :しかし、心に留めておくべきいくつかの一般的なXSSのものがあります。フォームは他のツール(例:
curl
、PostManなど)で作成されたHTTPリクエストを発行するだけで簡単に回避できます。フォームが送信しているリクエストを処理する際に、サーバー側の不良データをチェックする必要があります。 Adobeはあなたを介して読むべきいくつかの推奨事項があります:限りCQサーバー側でこの種のものを行う方法として
それらのページのPDF「チートシート」リンクがおそらく最も役立ちます。
XSSのリスクを緩和するさまざまな方法があります。データをホワイトリストに表示して、正常なデータのみを通過させ、既知の不良データを遮断するためにデータをブラックリストに表示し、スクリプトをHTMLとして扱わないようにデータをエンコードします。何をすべきかよく読んでください。OWASP recommendations
-1
をチェックしてください。このAPIのメソッドを使用すると、XSSセキュリティリスクを防ぐことができます。
一方、おそらく目に見えるものを使うことができますが、それは自動的な文脈を提供しますXSS protection。
関連する問題
- 1. ポップアップページが開いているかどうかを確認するにはどうすればよいですか?
- 2. Seleniumスクリプトがログインできたかどうかを確認するにはどうすればよいですか?
- 3. インポートされたライブラリがPythonスクリプトで '使用されている'かどうかを確認するにはどうすればよいですか?
- 4. ネットパイプサービスがリッスンしているかどうかを確認するにはどうすればよいですか
- 5. フィールドにダイナミックにデータが入力されているかどうかを確認するにはどうすればいいですか?
- 6. SSISに挿入されたレコード数と挿入されていないレコード数を確認するにはどうすればよいですか?
- 7. pdfページにブックマークがあるかどうかを確認するにはどうすればいいですか?
- 8. 要素にクリックハンドラがあるかどうかを確認するにはどうすればいいですか?
- 9. ユーザーがindex.htmlにいるかどうかを確認するにはどうすればよいですか?
- 10. ページ上にアイコンがあるかどうかを確認するにはどうすればいいですか?
- 11. WPF、カーソルにファイルがあるかどうかを確認するにはどうすればいいですか?
- 12. エラーが返されたかどうかを確認するにはどうすればよいですか?
- 13. リンクが訪問されたかどうかを確認するにはどうすればよいですか?
- 14. HTTPリクエストがAWS API Gatewayから発信されているかどうかを確認するにはどうすればよいですか?
- 15. Jsonがサーバにリクエストするにはどうすればいいですか?
- 16. 値が 'A2'で始まるかどうかを確認するにはどうすればいいですか?
- 17. Sqliteで行が0か1かどうかを確認するにはどうすればいいですか
- 18. 日付が正しいかどうかを確認するにはどうすればいいですか?
- 19. 変数が存在するかどうかを確認するにはどうすればいいですか?
- 20. Tomcatがシャットダウンを受信するように設定されているかどうかを確認するにはどうすればいいですか?
- 21. スクリプトがスーパーユーザーとして実行されているかどうかを確認するにはどうすればよいですか?
- 22. jquery:ページにフォーカスがないかどうかを確認するにはどうすればよいですか?
- 23. JavaScriptがセッションがnullかどうかを確認するにはどうすればいいですか?
- 24. PerlスクリプトがWindows上で実行されているかどうかを確認するにはどうすればよいですか?
- 25. C#新しいレコードがmysqlテーブルに挿入されているかどうかを確認する方法
- 26. アプリがバックグラウンドで実行されているか、アンドロイドを殺しているかどうかを確認するにはどうすればよいですか?
- 27. JSONでデータが指定されているかどうかを確認するにはどうすればよいですか?
- 28. bash入力がPHPスクリプトにリダイレクトされているかどうかを確認するには?
- 29. ディレクトリが共有されているかどうかを確認するPowerShellスクリプト?
- 30. Pythonがインストールされているかどうかを確認するPowershellスクリプト
質問が不明です。 「リクエストを提出する前にスクリプトをチェックすることにしました」とはどういう意味ですか?おそらくあなたは理解を助けるための例を挙げることができます。 – awd
こんにちは、私たちはAEMアプリケーションに多くのフォームを用意しており、データをデータベースに送信しています。 DB内の更新リクエストを送信する前にリクエスト内のスクリプトをチェックする(ここではSOAPを使用してWebサービス経由でデータベースにアクセスし、AEM側からjsonリクエストを送信する) –
参照http://stackoverflow.com/questions/24800295/how-to-configure-antisamy-in-cq-5-5 –