Question

я создаю веб-форму с JSP, и для предотвращения атак я делаю следующее:

input.replace("<", "something else");
input.replace(">", "something else");

, чтобы пользователь не мог добавить HTML или другие теги внутри формы.

Этодостаточно, чтобы предотвратить атаки такого рода (вставки HTML или других тегов на мой сайт) ??

Спасибо, JH.G.

CtrlDot · Answer 1 · 24 мая 2011

Короче, нет.Я рекомендую вам проверить проект ESAPI для этого.Они встроили инструменты для кодирования запросов и ответов в формате HTML, чтобы предотвратить атаки XSS.

BalusC · Answer 2 · 24 мая 2011

Это не совсем правильный путь.Это не только неполно, поскольку ', " и & также необходимо экранировать , но вы должны использовать JSTL <c:out> или fn:escapeXml() для выходаОбъекты HTML / XML на стороне представления.

Например,

<c:out value="${bean.value}" />
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />

См. Также:

XSS-предотвращение в веб-приложении JSP / Servlet

Безопасность формы путем замены символов «>», «<»

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

См. Также:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасность формы путем замены символов «>», «<»

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

См. Также:

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов