Question

Наш веб-сайт недавно подвергся атаке межсайтовых сценариев XSS - тип 1, я просмотрел несколько веб-сайтов, и они посоветовали нам сделать кодировку HTML / избежать экранирования / и сканировать URL-адреса (используя фильтр).

Мы исправили межсайтовый скриптинг в URL, отсканировав URL с помощью фильтра, и очищаем URL перед тем, как перейти к контроллеру (сервлету).

Что касается информации, мы попробовали нечто, называемое "Mod_j"безопасность "обеспечивается Apache, но моя проблема

как я могу закодировать вывод HTML?и есть ли какие-либо настройки в JBOSS или Apache для выполнения кодировки HTML перед отображением ??

Пожалуйста, сообщите мне об этом, поскольку это важно и должно быть решено в ближайшее время.

Erlend · Answer 1 · 29 марта 2012

XSS защита требует осознания контекста во время вывода.См. Шпаргалку по профилактике OWASP XSS.Вы должны сделать это в вашем приложении.Делать это в фильтре или apache было бы неплохо, но это просто невозможно.Упомянутый выше ThiefMaster видит только полный вывод.На данный момент почти невозможно найти атаку, потому что существует огромное количество возможных атак.

HTML-кодирование на уровне Jboss / Apache для обработки межсайтовых сценариев XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

HTML-кодирование на уровне Jboss / Apache для обработки межсайтовых сценариев XSS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов