Spring MVSでのXSSの防止

これは以前に尋ねられたことですが、Spring MVC WebアプリケーションのXSS攻撃を防ぐ方法を理解しようとしています。Spring MVSでのXSSの防止

1）私は、データベースに保存する前に、私は、フォームのコマンドオブジェクトの各プロパティのためのコモンズStringEscapeUtils.escapeHtml（）を使用するべきである私のweb.xml

<context-param> 
    <param-name>defaultHtmlEscape</param-name> 
    <param-value>true</param-value> 
</context-param>

2）に、次の追加しました？ある時点でエスケープする必要がありますか？デフォルトでHTMLをエスケープすることは、それが動作しない状況は確かにある多くの状況でXSSを停止

出典

2012-05-07 user879220

今のところ、私はJavaScriptの攻撃を避けるために、データをサニタイズし、HTMLタグを削除することに決めました。

私はJsoup APIを使用しています。

http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

出典

2012-05-11 13:07:39 user879220

にもかかわらず

感謝。ここにある例を参照してください。 http://erlend.oftedal.no/blog/?id=124 OWASP XSS予防チートシートをご覧ください。異なるエスケープを使用する必要がある場合について説明します。 2については、dbに入れる前にエスケープしないでください。エスケープルーチンにエラーがあり、毎回同じコンテキストでデータが使用されることを確認できません

出典

2012-05-08 04:54:21 Erlend

この種のデータセキュリティをアプリケーションで使用することをお勧めします。これにより、あなたのWebアプリケーションに対するこの7つの異なる可能性のある攻撃が防止されます。私は現在、Spring Frameworkと同じAPIを使用しています。

Click here for HDIV home page.

が、これはあなたのお役に立てば幸いです。

出典

2012-05-08 09:08:49

これは、私がやろうとしていることに対して非常に重いようです。悪意のある人物を逃れるための簡単な方法が必要です – user879220

あなたは正しいです。しかし、Webアプリケーションを他の攻撃で完全に保護したい場合は、HDIVのようなものを使用する必要があります。確かにあなたのパフォーマンスに2-3％影響を与えますが、それは許容されます。 –

私は同意しません。 WAFを使用することは貴重な防御層ですが、脆弱なアプリケーションを作成する言い訳ではなく、いかなる手段によっても完全に安全になるわけではありません。 – droope

答えて

関連する問題