已生產項目的XSS保護

Question

我們有一個基於servlet和struts的應用程序。它是一個巨大的應用程序，用jsp編寫查詢並傾向於使用XSS（請求值按原樣打印在jsp中）。它具有200個jsp的巨大應用程序。

我們希望修復XSS攻擊，使得最小代碼更改完成，以便QA開發週期很短，QA獲得更多時間。

感謝

Answer 1

中真正起作用的是創建一個UI層的唯一方法。也就是說，使用像Vaadin，Google Web Toolkit或類似的框架，它抽象掉所有的HTML，JavaScript等，以便在UI上進行外觀和感覺，或創建新頁面或修改頁面的開發人員不會不必考慮其變更的安全影響。

這一點尤其重要，因爲大多數開發人員不知道其變更的安全影響，因此將它們抽象出來將有助於防止缺乏知識/經驗。它還可以防止開發人員犯的簡單錯誤 - 畢竟，我們知道代碼總是有錯誤。

這在其他方面也是非常有益的。使用UI框架而不是在任何地方散佈UI代碼使維護更容易。它使UI的外觀和感覺保持一致。它會在整個UI中對外觀和感覺進行更改，而不是在任何地方固定點。由於原始實現並不完美而存在的錯誤 - 或者漏洞 - 可以固定在一個地方，而不是隨處固定。

在此期間，在您的應用程序中創建UI層之前，您應該查看OWASP的ESAPI。 THey提供螺栓固定XSS保護。它做的不錯，但很可能它會破壞UI中的某些功能，或者不會保護UI中的某些功能。這是因爲它沒有完全與你的應用程序集成在一起，因此它不太可能是完美的。