XSS跨站點腳本 - 在JSP輸入標記上

Question

我的JSP中的以下代碼段在輸入標記上導致了跨站點腳本攻擊漏洞。

<td id="locale-block" align="left" style="visibility: hidden; height: 0;"> 
    <input type="text" id="locale" name="locale" text="eng" value = "eng">eng 
</td> 

在滲透測試過程，他們能夠通過在標籤的value屬性注入警報腳本如下，以提醒一些隨機的信息給用戶

</script><script>alert(1);</script><script> 

應該怎樣做，以避免這種情況？是否有任何簡單的解決方案不涉及付費的第三方付費圖書館？

Answer 1

實際上有一個很好的第三方lib，它很容易處理衛生問題，叫做OWASP。

我在JFokus 2014上從WhiteHat Security Jim Manico在他的關於JAVA安全的演講中第一次聽到它。

請查看：here