我已经使用JSTL标记来修复Fortify在我的JSP上报告的XSS漏洞问题。但是,尽管XSS漏洞问题已得到解决,但使用后却导致了一个新的问题,即“XSS:不合格验证”。我可以实施哪些其他可能的解决方案来解决这个糟糕的验证问题?Fortify跨站点脚本:验证不佳
Fortify建议HTML/XML/URL编码不是一种好的做法,因为代码将在运行时解码,这仍可能导致XSS攻击。
我正在使用弹簧注入的struts框架。我有用户可以提供输入的字段以及从数据库中读取的字段。我已经寻找可能的解决方案,但还没有找到一个运气。
感谢, 蒂娜
使用正确的编码基于你在哪里输出数据。具体细节可查询OWASP XSS Prevention Cheat Sheet - 以及有关OWASP的AntiSamy和Java HTML Sanitizer的信息。
另外,在适当的地方可以使用white listing。
使用OWASP编码器罐。 Fortify解决了我的跨站点脚本问题。
从以下URL下载jar。第二个选项卡有例子。 https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
段:
<body><%= Encode.forHtml(UNTRUSTED) %></body>
http://owasp.github.io/owasp-java-encoder/encoder/apidocs/index.html?index-all.html
使用OWASP编码器罐。 Fortify解决了我的跨站点脚本问题。 从以下URL下载jar。第二个选项卡有例子。 https://www.owasp.org/index.php/OWASP_Java_Encoder_Project – minil 2017-05-05 18:37:59