62 votes

Doug avatar

Comment empêcher les gens de faire XSS en Java?

Demandé el 27 de Janvier, 2010
Quand la question a-t-elle été
23633 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Que dois-je faire pour empêcher XSS en Java? J'utilise Spring MVC. Pour le moment, je ne fais que mettre tous les endroits où je produis du texte utilisateur dans les balises <c:out /> , mais cela semble sujet aux erreurs car je risque de manquer un endroit.

Existe-t-il un moyen systématique simple d’empêcher cela? Peut-être comme un filtre ou quelque chose?

EDIT: Je collecte les données en spécifiant les paramètres @RequestParam sur les méthodes de mon contrôleur.

Demandé el 27 de Janvier, 2010 par Doug

Réponses

Trop de publicités?

63voto

Tendayi Mawushe avatar
Tendayi Mawushe Points 10335

Au printemps, vous pouvez échapper au code HTML des pages JSP générées par les balises <form> . Cela ferme de nombreuses possibilités d’attaques XSS et peut être effectué automatiquement de trois manières:

Pour toute l'application dans le fichier web.xml : 

 <context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

Pour tous les formulaires sur une page donnée dans le fichier lui-même: 

 <spring:htmlEscape defaultHtmlEscape="true" />

Pour chaque formulaire: 

 <form:input path="someFormField" htmlEscape="true" />
Répondu el 27 de Janvier, 2010 par Tendayi Mawushe (10335 Points )

8voto

Bozho avatar
Bozho Points 273663

Essayez XSSFilter .

Répondu el 27 de Janvier, 2010 par Bozho (273663 Points )

6voto

Erlend avatar
Erlend Points 2401

Lorsque vous essayez de prévenir les attaques de type XSS, il est important de penser à le contexte. Comme un exemple de comment et quoi de s'en sortir est très différente si vous êtes ouputting de données à l'intérieur d'une variable dans un code javascript, par opposition à la sortie de données dans une balise HTML ou un attribut HTML.

J'ai un exemple ici: http://erlend.oftedal.no/blog/?blogid=91

Aussi la caisse de l'OWASP XSS Prévention de la Feuille de Triche: http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

Donc, la réponse courte est, assurez-vous de vous échapper de sortie comme suggéré par Tendayi Mawushe, mais prendre des précautions particulières lorsque vous générez des données dans les attributs HTML ou javascript.

Répondu el 31 de Janvier, 2010 par Erlend (2401 Points )

0voto

Ben Poole avatar
Ben Poole Points 4976

Comment collectez-vous les entrées des utilisateurs en premier lieu? Cette question / réponse peut vous aider si vous utilisez un FormController :

Spring: échappement d'entrée lors de la liaison à la commande

Répondu el 27 de Janvier, 2010 par Ben Poole (4976 Points )

0voto

sibidiba avatar
sibidiba Points 2879

Vérifiez toujours manuellement les méthodes et les balises que vous utilisez et assurez-vous qu’elles s’échappent toujours (une fois) à la fin. Les frameworks ont de nombreux bugs et différences dans cet aspect.

Un aperçu: http://www.gablog.eu/online/node/91

Répondu el 27 de Janvier, 2010 par sibidiba (2879 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X