Как предотвратить уязвимость XSS с помощью Struts

Question

Нам нужно добавить поддержку анти-XSS в наше приложение Struts. В частности, архитектор требует, чтобы весь пользовательский ввод был «очищен» перед сохранением в БД. Поскольку я не хочу изобретать квадратное колесо, какую библиотеку Java я могу использовать для этого? А куда его поставить? В идеале он должен быть настраиваемым (какие поля ввода проверять, а не все из них в запросе) и быстрым. Моя первая мысль - это Struts Validator.

Заранее спасибо Lluis

Answer 1

Рекомендую заглянуть в проект OWASP ESAPI . Он разрабатывался более года и приближается к выпуску 2.0.

Для экранирования значений, хранящихся в базе данных, используйте метод Encoder.encodeForSQL () ( ссылочная реализация ).

Для проверки ввода проверьте валидатор ( эталонная реализация ).

Примечание. Насколько я понимаю, функциональность, предоставляемая более старыми проектами, такими как Stinger и CSRFGuard, включена в ESAPI.

Answer 2

Если вы зайдете в Google для XSS Java Filter, вы найдете множество решений с открытым исходным кодом, таких как one .

Вы также можете ознакомиться с проектом проверки OWASP .