0
最近、私たちのウェブサイトはXSSクロスサイトスクリプティング - タイプ1で攻撃されました。私はいくつかのウェブサイトを経由して、HTMLエンコーディング/エスケープ/とURLをスキャンする(フィルタを使用して)。XSSクロスサイトスクリプティングを扱うためのJboss/ApacheレベルのHTMLエンコーディング
フィルタを使用してURLをスキャンしてURLのクロスサイトスクリプティングを修正し、コントローラ(サーブレット)に進む前にURLをクリアしました。情報については
、我々は、Apacheが提供する「Mod_jセキュリティ」と呼ばれるもの、 を試してみましたが、私の懸念は、私はHTML出力をENDCODEできる方法
あります?表示前にHTMLエンコーディングを行うためのJBOSSまたはApacheの設定は何ですか?
これは重要であり、早急に対応する必要があるため、アドバイスをお願いします。
これは、使用しているアプリケーションフレームワークで行う必要があります。ウェブサーバは、返されたHTMLの完全な塊を見るだけで、どの部分をhtmlでエンコードすべきか分からないはずがわかりません。 – ThiefMaster
私たちは春のフレームワークを使用しており、ビューとしてstrutsのタイルの定義..だから私はエンコーディングを行う必要があるか分からない!! – Kumaran