Todas las entradas de los usuarios deben ser escapado . Pero, desafortunadamente, al usar JSP tenemos que hacer esto de manera exagerada usando A menudo, los desarrolladores inexpertos solo usan $ {value}, que solo escribe el valor sin escapar.
¿Es posible eliminar todos los valores escritos por $ {value} por defecto?
De lo contrario, ¿existe una herramienta de análisis de código estático que encuentre usos de $ {value} sin c: out?
Todas las entradas proporcionadas por el usuario deben validarse en la entrada (use Hibernate Validator con su anotación @SafeHtml), para que no llene su base de datos con un XSS potencial que pueda destruir otra aplicación o versiones posteriores de la misma aplicación p>
Podría usar mi herramienta básica para validar todos los GET y amp; Parámetros POST y nombres y valores de encabezados:
Heads up: no valida los cuerpos de solicitud
Los datos proporcionados por el usuario también deben escaparse en la salida
Puede utilizar este programa de resolución de Expression Language para "auto" escapar de todas las páginas JSP enlace