Question

В одном из файлов JSP есть уязвимость XSS, в которой мы использовали скрытые поля.Таким образом, следующие скрытые поля уязвимы для xss:

   <input type="hidden" name="input1" value="<%=dummyInputValue%>"/>
   <input type="hidden" name="input2" value="<%=dummyInputValue1%>"/>

, где dummyInputValue происходит из объекта запроса ... что-то вроде ниже request.getParameter("dummyInputValue")

Я не уверен, как исправить эти поля, чтобы избежать xss-уязвимости.Пожалуйста, помогите мне в этом.

Получив доступ к следующему URL (пример):

Для запуска XSS требуется alt + shift + x (windows) или ctrl+ alt + x (max).

rocky · Answer 1 · 25 апреля 2019

Я исправил проблему после прочтения комментария Джозефа. XSS предотвращается в JSP с помощью тега JSTL. Это путем изменения кода, как показано ниже

<%@ taglib uri = "http://java.sun.com/jsp/jstl/core" prefix = "c" %>
<input type="hidden" name="input1" value="<c:out value="${dummyInputValue}"/>"/>

Как исправить XSS на скрытых полях

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.