0
我已經看了很多帖子說ESAPI爲Java可以通過使用Validator & Encoder被用來防止XSS。順便說一句,我使用Eclipse。我沒有使用Maven或Spring。如何實現用於防止XSS的Java ESAPI?
我的問題是:
- 如何實現Java ESAPI防止XSS?
- 除了在構建路徑中添加ESAPI jar之外,是否還需要其他配置?
在此先感謝您的答案。
A
回答
2
防止XSS有一些欺騙。 Validator允許您定義輸入字符以接受/拒絕。但也有不同的上下文的概念,這就是編碼器類的地方。在你的職業生涯中會出現一些情況,你會被迫接受字符作爲可用於攻擊瀏覽器的輸入。
基本的ESAPI實現是這樣的:拒絕輸入字符根據白名單。根據輸出上下文使用編碼器實現......在做出關於「首先對HTML進行編碼還是首先對Javascript進行編碼的決定」時,技巧部分出現了?這些都可能對應用程序產生影響,他們需要根據您的應用程序的需要決定,我有應用程序,要求用戶輸入有效的Javascript,例如...在這些情況下,您需要非常小心,
回答你的第2部分:是的ESAPI就像現在你可能知道的那樣,需要定義兩個屬性文件... validation.properties和esapi.properties。你可以自己編譯它們到jar文件中(這需要你學習maven,所以可能不會...) )或使用標準的-Dmy.property語法在運行時指定java位置。加載異常實際上引導您到正確的路徑。
相關問題
- 1. ESAPI for XSS預防不起作用
- 2. 用strip_tags()防止XSS?
- 3. 用PHP防止XSS
- 4. PHP防止xss
- 5. 防止DOM XSS
- 6. Struts XSS預防 - 防止GET XSS
- 7. 如何使用Struts防止XSS漏洞
- 8. 確實body-parser的urlencode防止xss?
- 9. 防止C#中的XSS Winform WebBrowser
- 10. 如何防止CSS中的XSS?
- 11. 如何防止潛在的XSS
- 12. 如何防止Asp.NET中的XSS
- 13. 如何防止keyup()jQuery事件的XSS?
- 14. 防止XSS攻擊
- 15. 防止XSS漏洞
- 16. 防止XSS攻擊
- 17. jquery ajax防止xss
- 18. 防止內嵌Java腳本XSS注入
- 19. Java 5 HTML轉義防止XSS
- 20. 如何清理Java中的HTML代碼以防止XSS攻擊?
- 21. jinja2如何防止XSS攻擊?
- 22. PHP:如何完全防止XSS攻擊?
- 23. 如何防止對XSS和SQL注入
- 24. CakePHP的:防止XSS攻擊
- 25. 防止Spring MVC中的XSS
- 26. 防止ajax rsargs中的XSS []
- 27. 如何防止反射XSS爲Java對象
- 28. 防止xss攻擊/注入
- 29. 防止Javascript和XSS攻擊
- 30. Json.Net Wrapper防止Xss攻擊
更新了我對問題2的回答 – avgvstvs