защитить страницы JSP снова XSS

Question

Я хочу защитить свой веб-сайт от xss и хочу убедиться, что все мои данные верны и согласованы, поэтому я не хочу разрешать добавлять какие-либо сценарии в мою базу данных, потому что мои данные могут использоваться другие веб-сервисы, поэтому я хочу быть уверен, что мои данные верны и не вызовут проблем у других.

Я хочу сделать проверку только на входе данных, а не на выходе, поэтому я сделаю проверку только один раз, а также я буду уверен, что в моей базе данных нет сценариев.

РЕДАКТИРОВАТЬ : пожалуйста, проверьте последний комментарий, который я добавил.

Answer 1

Используйте фильтр для очистки данных HTTP-запроса.

Вы можете пойти на jsoup, это очень удобно:

String unsafe = "<p><a href='http://example.com/' onclick='stealCookies()'>Link</a></p>";
String safe = Jsoup.clean(unsafe, Whitelist.basic());
// now: <p><a href="http://example.com/" rel="nofollow">Link</a></p>

Ссылка: http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

Answer 2

http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

Answer 3

Короче говоря, вы можете написать фильтр, который будет корректно экранировать пользовательский ввод (сопоставлять с соответствующим отображением URL).Для этого может быть доступен плагин, но я не знаю.
Вы можете обратиться к этой теме XSS-предотвращение в веб-приложении JSP / Servlet