이전에 물어 보았지만 Spring MVC 웹 어플리케이션의 XSS 공격을 방지하는 방법을 알아 내려고합니다.Spring MVS에서 XSS 방지
1) 나는 데이터베이스에 저장하기 전에 나는 또한 양식 명령 개체의 각 속성에 대한 커먼즈 StringEscapeUtils.escapeHtml()를 사용해야 내 web.xml을
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
2)에 다음과 같은 추가 ? 어떤 시점에서도 해명해야합니까? 기본적으로 HTML을 탈출하는 많은 상황에서 XSS를 중지하더라도
감사
이것은 내가하는 일에 매우 무거워 보입니다. 악의적 인 캐릭터를 피할 수있는 간단한 방법을 원합니다. – user879220
당신 말이 맞아요. 그러나 웹 애플리케이션을 다른 공격으로 완벽하게 보호하려면 HDIV와 같은 것을 사용해야합니다. 그것은 당신의 연주에 2-3 %의 영향을 주지만 받아 들일 만합니다. –
나는 동의하지 않는다. WAF를 사용하는 것은 중요한 방어막이지만 취약한 응용 프로그램을 만드는 핑계가 아니며 어떠한 수단으로도 "완전히 안전"하지는 않습니다. – droope