2009-10-27 64 views
0

我目前正在開發GWT 1.7.1應用程序,該應用程序處理大量持久的用戶生成數據,因此存在惡意XSS的風險。我正在採取的防止這種情況的一個步驟是使用服務器端的org.apache.commons.lang.StringEscapeUtils.escapeHtml()(是的,我很清楚這不會阻止所有可能的XSS攻擊,如herehere所述)。 「鮑勃公司愛麗絲&放大器」和「愛麗絲&放GWT干擾XSS預防措施

,因爲它看來,GWT正在執行它自己的客戶端逃避(如服務器返回字符串這種做法導致客戶端的問題; amp; Bob Inc.「正被渲染到不正確的DOM)。這肯定是發生在客戶端,因爲來自服務器的http響應包含正確編碼的數據。我一直在瀏覽GWT的文檔,並沒有找到任何有關此功能的參考。 有沒有人知道禁用此行爲的方法?

回答

1

如何添加服務器返回到頁面的值?你可以添加文本?如果您確定該字符串是安全的,則可以將其添加爲HTML(通常有HTML選項)或特定的Widget(如HTML)。

btw通常最好不要從服務器返回HTML編碼值,因爲您不知道如何使用它們。我使用規則,直到最後一分鐘將值保持爲乾淨的格式(添加到文檔等)。