0
String safeOutput = ESAPI.encoder().encodeForHTML(request.getParameter("temp"));
以上不起作用,它不驗證。 (插入所有需要的罐子並導入所有文件)。那麼我們可以直接使用輸出驗證嗎?我們可以做輸出驗證而無需在esapi中進行輸入驗證嗎?
A
回答
1
驗證輸入
我會用Hibernate驗證的@SafeHtml註釋:
class MyEntity {
@SafeHtml
private String title;
...
}
不編碼輸入,驗證它。您想要阻止數據庫中的XSS或可能的XSS。
您可以驗證控制器和/或存儲庫中的輸入。
編碼輸出
使用OWASP的Java Encoder Project。在JSP中,你可以這樣做:
<e:forHtml value="${attr}" />
+0
是否有JPA規範或Hibernate獨有? – avgvstvs
+0
Hibernate Validator是Bean Validation 1.1的參考實現。 –
0
你貼的代碼是不是驗證代碼。這是輸出轉義。如果您想驗證的一段代碼,您要使用的許多ESAPI.validator().getValidInput()方法,在結合validation.properties.
同樣適用,如果你的想法是做輸出驗證一個,不這樣做。原則上這意味着你會在應用程序中接受惡意數據,然後在輸出時只檢查它的惡意。不要讓它進入你的應用程序!退出輸出。 總是根據上下文逃避輸出!
This answer給出了四個如何考慮輸出轉義的例子 - 不要忘記你的上下文!接受的答案也指導您提供更完整的解決方案來處理XSS。
相關問題
- 1. 我想對int()進行輸入驗證,但驗證str()
- 2. Struts2驗證 - 無輸入驗證
- 3. 應該輸入驗證重做以保證安全嗎?
- 4. 我們可以在ESAPI驗證器方法中使用黑名單嗎?
- 5. 當我做ajax後驗證輸入
- 6. Android驗證輸入,而用戶輸入
- 7. 驗證輸入
- 8. 驗證輸入
- 9. 輸入驗證
- 10. 驗證輸入
- 11. 可選驗證,但需要輸入
- 12. 我可以改進我的驗證嗎?
- 13. 在用戶輸入驗證 - Grails驗證
- 14. 無需輸入用戶名和密碼進行身份驗證
- 15. 我們可以使用refinerycms進行用戶身份驗證嗎
- 16. 無法驗證輸入
- 17. 難以驗證textarea輸入
- 18. 我們是否需要驗證jqgrid中的輸入?
- 19. 在哪裏做輸入驗證
- 20. 用動態輸入進行Jquery驗證
- 21. jQuery.Validate - 輸入後進行驗證
- 22. jquery按類進行驗證輸入
- 23. 如何正確進行輸入驗證
- 24. 使用按鍵進行驗證輸入
- 25. 在php中輸入驗證
- 26. 在AngularJS中輸入驗證
- 27. 命令行輸出驗證
- 28. 驗證在REDQueryBuilder中輸入的輸入
- 29. 我可以驗證MTurk上的輸入嗎?
- 30. 我可以使用JsonCpp部分驗證JSON輸入嗎?
你會得到什麼錯誤信息?它如何「不驗證」? – gustafc