これは以前に尋ねられたことですが、Spring MVC WebアプリケーションのXSS攻撃を防ぐ方法を理解しようとしています。Spring MVSでのXSSの防止
1)私は、データベースに保存する前に、私は、フォームのコマンドオブジェクトの各プロパティのためのコモンズStringEscapeUtils.escapeHtml()を使用するべきである私のweb.xml
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
2)に、次の追加しました?ある時点でエスケープする必要がありますか?デフォルトでHTMLをエスケープすることは、それが動作しない状況は確かにある多くの状況でXSSを停止
これは、私がやろうとしていることに対して非常に重いようです。悪意のある人物を逃れるための簡単な方法が必要です – user879220
あなたは正しいです。しかし、Webアプリケーションを他の攻撃で完全に保護したい場合は、HDIVのようなものを使用する必要があります。確かにあなたのパフォーマンスに2-3%影響を与えますが、それは許容されます。 –
私は同意しません。 WAFを使用することは貴重な防御層ですが、脆弱なアプリケーションを作成する言い訳ではなく、いかなる手段によっても完全に安全になるわけではありません。 – droope