Как проверить, есть ли какой-либо скрипт, введенный в json-запрос?

Question

У нас есть проблемы в нашем приложении AEM для межсайтового скриптинга. Мы решили проверить любые скрипты перед отправкой запроса. Как проверить, есть ли какой-либо скрипт, доступный в запросе SOAP на стороне сервера (Java). Является ли это правильным решением для устранения проблемы с межсайтовыми скриптами?

Answer 1

Это довольно широкий вопрос, и мы не можем предоставить какие-либо детали реализации, так как мы не знаем ни одной из ваших деталей архитектуры или реализации. Тем не менее, есть некоторые общие вещи XSS:

• Если вы «проверяете скрипты» только в браузере, используя JS, перед отправкой формы, которая ничего не решит. Люди могут легко обойти это, просто выписав HTTP-запрос, который форма сделала бы из любого другого инструмента (например, curl, PostMan и т. Д.). Вам нужно проверить наличие плохих данных на стороне сервера при обработке запроса, который отправляет форма.

Насколько, как делать такого рода вещи на стороне CQ сервера: Adobe имеет некоторые рекомендации, которые вы должны прочитать:

• AEM 6.1
• AEM 5.6

Ссылка на «чит-лист» в формате PDF на этих страницах, вероятно, будет наиболее полезной.

---

Существуют различные способы, чтобы уменьшить риск XSS. Белое перечисление данных, позволяющих пропускать только известные хорошие данные, черное перечисление данных для блокировки любых известных плохих данных, кодирование данных для предотвращения обработки сценариев как HTML. Для отличного чтения о том, что делать, обратите внимание на то, что следует обратить внимание на OWASP recommendations

Answer 2

Проверьте XSSAPI, вы можете использовать методы в этом api для предотвращения рисков безопасности XSS.
С другой стороны, вы могли бы, вероятно, начать использовать зрелище, которое обеспечивает автоматический контекст XSS protection.