Tenemos algunos servicios RESTful API que hemos estado usando durante varios años. Recientemente, hemos empezado a considerar la posibilidad de presentarlos a clientes de terceros para que puedan escribir sus propias interfaces de usuario y podamos trabajar en la construcción de esta capa de servicio. Desafortunadamente, esto significaría que no tendríamos control sobre la ejecución de que los datos se desinfecten antes de la publicación, o antes de la representación, lo que deja un riesgo potencial para XSS (por ejemplo, si alguien publicara datos con JavaScript en un área de texto que podría guardarse en el DB ).
Nuestra pila es Apache, Tomcat y Java.
¿Alguien sabe de una manera de poner algún tipo de filtro delante de estos puntos finales de API existentes que podrían manejar datos de desinfección tanto entrantes como salientes (aunque entrantes es probablemente lo más importante)? Como se mencionó, estas son API de larga data que no eran de acceso público, por lo que habíamos estado manejando esto en la capa de UI, pero nos gustaría evitar tener que volver a escribir cada punto final existente para manejar la desinfección si es posible.