Fortify Cross Site Scripting: Poor Validation

Я использовал тег JSTL, чтобы исправить проблему уязвимости XSS. Fortify сообщил о моих JSP. Но после использования, хотя проблема уязвимости XSS была решена, в результате появилась новая проблема как «XSS: Poor Validation». Каковы другие возможные решения, которые я мог бы реализовать, чтобы избавиться от этой плохой проблемы проверки?Fortify Cross Site Scripting: Poor Validation

Fortify предлагает кодирование HTML/XML/URL не является хорошей практикой, так как код будет декодирован во время выполнения, что все равно может привести к атаке XSS.

Я использую раму распорок с пружиной. У меня есть поля, где пользователь может предоставить ввод, а также поля, которые считываются из базы данных. Я искал возможные решения, но havent повезло найти его еще.

Спасибо, Deena

источник

2013-02-15 Deena

Использование OWASP кодировщика Jar. Укрепление разрешило мои проблемы с сайтом Scripting. Загрузите банку со следующего URL-адреса. На второй вкладке есть примеры. https://www.owasp.org/index.php/OWASP_Java_Encoder_Project – minil

Используйте правильное кодирование на основе, где вы выводите данные. Спецификации можно найти OWASP XSS Prevention Cheat Sheet - наряду с информацией о OWASP's AntiSamy и Java HTML Sanitizer.

Кроме того, при необходимости можно использовать white listing.

источник

2013-02-25 19:59:08 xelco52

Использование OWASP Encoder Jar. Укрепление разрешило мои проблемы с сайтом Scripting.

Загрузите банку со следующего URL-адреса. На второй вкладке есть примеры. https://www.owasp.org/index.php/OWASP_Java_Encoder_Project

Отрывок:

<body><%= Encode.forHtml(UNTRUSTED) %></body>

http://owasp.github.io/owasp-java-encoder/encoder/apidocs/index.html?index-all.html

источник

2017-05-05 18:36:31 minil

ответ

Смежные вопросы