जावा 5 एचटीएमएल

Question

को रोकने के लिए बच रहा है मैं अपने जावा एप्लिकेशन में कुछ एक्सएसएस रोकथाम में देख रहा हूं।

मेरे पास वर्तमान में कस्टम निर्मित दिनचर्या हैं जो मेरे जेएसपीएस में सुरक्षित प्रदर्शन के लिए डेटाबेस में संग्रहीत किसी भी HTML से बच जाएंगी। हालांकि यदि संभव हो तो मैं इसे करने के लिए एक अंतर्निहित/मानक विधि का उपयोग करूंगा।

मैं वर्तमान में डाटाबेस में भेजे गए डेटा को एन्कोड नहीं कर रहा हूं लेकिन यह भी करना शुरू करना चाहता हूं।

क्या कोई ऐसी विधियां हैं जो इसे प्राप्त करने में मेरी सहायता कर सकती हैं?

Answer 1

आप आम तौर पर, प्रदर्शन दौरान XSS बच नहीं दुकान दौरान। जेएसपी में आप JSTL का उपयोग कर सकते हैं (/WEB-INF/lib में <c:out> टैग या fn:escapeXml इस के लिए फ़ंक्शन करें। जैसे

<input name="foo" value="<c:out value="${param.foo}" />"> 

या

<input name="foo" value="${fn:escapeXml(param.foo)}"> 

यह है कि। यदि आप डीबी में इनपुट और/या भंडारण को संसाधित करते समय भी करते हैं, तो यह सब व्यवसाय कोड और/या डेटाबेस में फैल गया है। आपको ऐसा नहीं करना चाहिए, यह केवल रखरखाव की समस्या है और आप अलग-अलग स्थानों पर ऐसा करते समय डबल-एस्केप या अधिक जोखिम लेते हैं (उदाहरण के लिए &के बजाय & बन जाएगा ताकि अंततः & के बजाय एंडुसर & देखें। ।। कोड और डीबी XSS के लिए संवेदनशील नहीं होते केवल दृश्य है तब आप यह केवल वहीं बच चाहिए

अद्यतन:।

• : आप एक ही विषय के बारे में 4 विषयों पोस्ट किया है Cross Site Scripting - Hidden Form Fields
• HttpServletRequest - Quick way to encode url and hidden field paramaters
• HttpServletRequest - SetParameter
• यह एक।

मैं केवल आपको चेतावनी देगा: आप नहीं सर्वलेट/फिल्टर/javacode/डेटाबेस में यह से बचने के लिए/जो कुछ भी आवश्यकता है। आप केवल अनावश्यक रूप से अतिसंवेदनशील चीजें हैं। प्रदर्शन के दौरान बस इसे बचें। बस इतना ही।

Answer 2

अंतर्निहित नहीं है, लेकिन owasp esapi filter देखें, यह वही करना चाहिए जो आप ढूंढ रहे हैं और अधिक। यह ओवस्प ("ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट") में स्मार्ट लड़कों & लड़कियों द्वारा लिखित एक महान ओपन सोर्स सुरक्षा लाइब्रेरी है।

Answer 3

मुझे कहना है कि मैं एक्सएसएस को रोकने के लिए आउटपुट पर बचने के स्वीकार्य उत्तर से असहमत हूं।

मेरा मानना ​​है कि बेहतर दृष्टिकोण इनपुट पर sanitize है जो आसानी से एक पहलू के साथ हासिल किया जा सकता है ताकि आपको इसे जगह पर नहीं रखना पड़े। Sanitizing से बचने से अलग है।

आप बस आँख बंद करके नहीं बच सकते हैं:

• आप उन एचटीएमएल का एक सबसेट (उर्फ लिंक और बोल्ड टैग) में प्रवेश कर सकते हैं।
• बचने XSS

मैं फिल्टर का एक पहलू या @ futtta की सिफारिश के साथ OWASP Antisammy पुस्तकालय उपयोग करने की अनुशंसा नहीं रोकता है।

नीचे एक पहलू है जिसे मैंने स्प्रिंग एमवीसी एनोटेशन का उपयोग करके उपयोगकर्ता इनपुट को स्वच्छ करने के लिए लिखा है (क्योंकि हम अपने सभी इनपुट के लिए इसका उपयोग करते हैं)।

@SuppressWarnings("unused") 
@Aspect 
public class UserInputSanitizerAdivsor { 

    @Around("execution(@RequestMapping * * (..))") 
    public Object check(final ProceedingJoinPoint jp) throws Throwable { 
     Object[] args = jp.getArgs(); 
     if (args != null) { 
      for (int i = 0; i < args.length; i++) { 
       Object o = args[i]; 
       if (o != null && o instanceof String) { 
        String s = (String) o; 
        args[i] = UserInputSanitizer.sanitize(s); 
       } 
      } 
     } 
     return jp.proceed(args); 
    } 
} 

आप अभी भी गैर अमीर टेक्स्ट फ़ील्ड के लिए उत्पादन पर से बचने के लिए होगा, लेकिन आप कभी नहीं होगा (और मुझे विश्वास है कभी नहीं करना चाहिए) अपने डेटाबेस में दुर्भावनापूर्ण डेटा है।

यदि आप कुछ इनपुट पर sanitize नहीं करना चाहते हैं तो आप हमेशा एनोटेशन कर सकते हैं जो पहलू को स्वच्छ नहीं करेगा।

अन्य कारणों से आप अपने डेटाबेस में दुर्भावनापूर्ण डेटा नहीं चाहते हैं, यदि आप इंटरनेट पर किसी भी तरह का आरईएसटी एपीआई प्रदान करते हैं। आप आउटपुट पर सही काम कर सकते हैं लेकिन आपके मैशप पार्टनर नहीं हो सकते हैं।

इनपुट को अवरुद्ध करना या इनपुट अवरुद्ध करना ठीक है (मेरा मतलब है कि अधिकांश लोगों के पास फ़ाइल अपलोड सीमा सही है?)। किसी वेब एप्लिकेशन में अधिकांश फ़ील्ड को स्क्रिप्ट टैग दर्ज करने की आवश्यकता नहीं होती है और अधिक महत्वपूर्ण बात यह है कि आपके अधिकांश उपयोगकर्ताओं को शायद स्क्रिप्ट टैग दर्ज करना या आवश्यकता नहीं है (स्पष्ट अपवाद स्टैक ओवरफ़्लो उत्तर है)।