Spring MVS에서 XSS 방지

이전에 물어 보았지만 Spring MVC 웹 어플리케이션의 XSS 공격을 방지하는 방법을 알아 내려고합니다.Spring MVS에서 XSS 방지

1) 나는 데이터베이스에 저장하기 전에 나는 또한 양식 명령 개체의 각 속성에 대한 커먼즈 StringEscapeUtils.escapeHtml()를 사용해야 내 web.xml을

<context-param> 
    <param-name>defaultHtmlEscape</param-name> 
    <param-value>true</param-value> 
</context-param>

2)에 다음과 같은 추가 ? 어떤 시점에서도 해명해야합니까? 기본적으로 HTML을 탈출하는 많은 상황에서 XSS를 중지하더라도

감사

출처

2012-05-07 user879220

지금은 JavaScript 공격을 피하기 위해 데이터를 삭제하고 HTML 태그를 제거하기로 결정했습니다.

저는 이것을 수행하기 위해 Jsoup API를 사용하고 있습니다.

http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

출처

2012-05-11 13:07:39 user879220

가 확실히 있습니다 작동하지 않는 경우 컨텍스트. 아래의 예를 참조하십시오. http://erlend.oftedal.no/blog/?id=124 OWASP XSS 예방 치트 시트를 살펴 보시기 바랍니다. 다른 탈출구를 사용해야 할 때를 설명합니다. 2에 대해서는 db에 넣기 전에 탈출하지 마십시오. 이스케이프 루틴에 오류가있을 수 있으며 매번 같은 컨텍스트에서 데이터를 사용할 지 확신 할 수 없습니다.

출처

2012-05-08 04:54:21 Erlend

응용 프로그램에서 이러한 종류의 데이터 보안을 사용하는 것이 좋습니다. 웹 응용 프로그램에 대한이 7 가지 다른 가능한 공격을 차단합니다. Spring Framework와 함께 사용할 동일한 API를 현재 탐색 중입니다.

Click here for HDIV home page.

희망이 당신을 도와줍니다.

출처

2012-05-08 09:08:49

이것은 내가하는 일에 매우 무거워 보입니다. 악의적 인 캐릭터를 피할 수있는 간단한 방법을 원합니다. – user879220

당신 말이 맞아요. 그러나 웹 애플리케이션을 다른 공격으로 완벽하게 보호하려면 HDIV와 같은 것을 사용해야합니다. 그것은 당신의 연주에 2-3 %의 영향을 주지만 받아 들일 만합니다. –

나는 동의하지 않는다. WAF를 사용하는 것은 중요한 방어막이지만 취약한 응용 프로그램을 만드는 핑계가 아니며 어떠한 수단으로도 "완전히 안전"하지는 않습니다. – droope