我已經使用JSTL標記來修復Fortify在我的JSP上報告的XSS漏洞問題。但是,儘管XSS漏洞問題已得到解決,但使用後卻導致了一個新的問題,即「XSS:不合格驗證」。我可以實施哪些其他可能的解決方案來解決這個糟糕的驗證問題?Fortify跨站點腳本:驗證不佳
Fortify建議HTML/XML/URL編碼不是一種好的做法,因爲代碼將在運行時解碼,這仍可能導致XSS攻擊。
我正在使用彈簧注入的struts框架。我有用戶可以提供輸入的字段以及從數據庫中讀取的字段。我已經尋找可能的解決方案,但還沒有找到一個運氣。
感謝, 蒂娜
使用正確的編碼基於你在哪裏輸出數據。具體細節可查詢OWASP XSS Prevention Cheat Sheet - 以及有關OWASP的AntiSamy和Java HTML Sanitizer的信息。
另外,在適當的地方可以使用white listing。
使用OWASP編碼器罐。 Fortify解決了我的跨站點腳本問題。
從以下URL下載jar。第二個選項卡有例子。 https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
段:
<body><%= Encode.forHtml(UNTRUSTED) %></body>
http://owasp.github.io/owasp-java-encoder/encoder/apidocs/index.html?index-all.html
使用OWASP編碼器罐。 Fortify解決了我的跨站點腳本問題。 從以下URL下載jar。第二個選項卡有例子。 https://www.owasp.org/index.php/OWASP_Java_Encoder_Project – minil 2017-05-05 18:37:59