Атака ZAP XSS пытается исправить с проверкой ввода, но не работает?

Question

Загр. HTML-отчет заявлен XSS-атака: Параметр: имя пользователя Атака: предупреждение (1);

Как исправить мой HTML, чтобы ZAP не сказал, что на моем имени пользователя есть атака XSS? Я знаю, что это связано с проверкой ввода/«списком»?

Я пытался следовать этому: https://tododev.wordpress.com/2013/12/27/detecting-and-fixing-xss-using-owasp-tools/

но он оставил меня больше запутывается, и я новичок.

Answer 1

Вместо ESAPI вы должны использовать OWASP Java Encoder. Пример использования кодека OWASP Java в вашем коде:

<%@ page contentType="text/html;charset=UTF-8" %> 
<%@ page import="org.owasp.encoder.Encoder" %> 
<%-- HTML context --%> 
<body><b><%= Encode.forHtml(textValue) %>" /></b></body> 
<%-- HTML Attribute context --%> 
<input type="text" name="address" 
value="<%= Encode.forHtmlAttribute(addressData) %>" /> 
<%-- HTML Content context --%> 
<textarea name="text"> 
<%= Encode.forHtmlContent(textAreaContent>" /> 
<%-- Javascript Block context --%> 
<script type="text/javascript"> var msg = "<%= Encode. 
forJavaScriptBlock(message) %>"; alert(msg); </script> 
<%-- Javascript Variable context --%> 
<button onclick=" 
alert('<%= Encode.forJavaScriptAttribute(alertMsg) %>'); 
">click me</button> 

Надеюсь, это поможет!