Asegúrese de que la entrada se escape en JSP

2

Todas las entradas de los usuarios deben ser escapado . Pero, desafortunadamente, al usar JSP tenemos que hacer esto de manera exagerada usando A menudo, los desarrolladores inexpertos solo usan $ {value}, que solo escribe el valor sin escapar.

¿Es posible eliminar todos los valores escritos por $ {value} por defecto?

De lo contrario, ¿existe una herramienta de análisis de código estático que encuentre usos de $ {value} sin c: out?

    
pregunta Matthias M 16.03.2017 - 21:48
fuente

1 respuesta

1

Todas las entradas proporcionadas por el usuario deben validarse en la entrada (use Hibernate Validator con su anotación @SafeHtml), para que no llene su base de datos con un XSS potencial que pueda destruir otra aplicación o versiones posteriores de la misma aplicación p>

Podría usar mi herramienta básica para validar todos los GET y amp; Parámetros POST y nombres y valores de encabezados:

enlace

Heads up: no valida los cuerpos de solicitud

Los datos proporcionados por el usuario también deben escaparse en la salida

Puede utilizar este programa de resolución de Expression Language para "auto" escapar de todas las páginas JSP enlace

    
respondido por el Neil McGuigan 16.03.2017 - 22:36
fuente

Lea otras preguntas en las etiquetas