我正在修复 java 中的跨站点脚本问题。由于我是 OWASP 的新手,请有人帮我弄清楚如何在以下情况下使用 OWASP 来清理输入。
Enumeration<String> EnumHeader = request.getHeaderNames();
Map<String, String[]> pMap = request.getParameterMap();
Object value = request.getHeader(key);
String[] refs = (req.getParameterValues(REFS_NAME));
【问题讨论】:
虽然数据验证对于防止 XSS 非常有帮助,但它不一定涵盖持久性 XSS 的所有基础。唯一 100% 有效的保护是 OWASP Java 编码器项目或 OWASP ESAPI 的编码器提供的正确的上下文输出编码。造成这种情况的一个原因是对于持久性 XSS,受污染的数据可能来自一个数据库,该数据库可能被另一个应用程序输入或更改,该应用程序对这些相同的数据库表具有插入/更新访问权限,但没有进行正确的数据验证。 (也就是说,受污染的数据可能会以其他方式进入您的系统,而不是通过您的应用程序。)因此,唯一万无一失的解决方案是进行适当的上下文输出编码。已经向您指出的 OWASP XSS 预防备忘单是一个很好的起点,可以解释所有这些。
【讨论】:
您可以使用操作系统库来清理这些字符串/对象。
示例库:https://finn-no.github.io/xss-html-filter/
然后,对于这些标头和参数集合,您可以使用 Java 8 Streams 遍历它们,并将它们映射到新的过滤集合(使用 sanitizer 库)。
【讨论】:
<a href='&#60;/a&#x3e;&#39;&#60;script&#x3e;alert(1)&#x3c;/script&#x3e;'>123</a><a href='&#60;/a&#x3e;&#39;&#60;script&#x3e;alert(1)&#x3c;/script&#x3e;'>123</a>
可以通过对参数进行编码以及使用自定义正则表达式验证参数来修复跨站点脚本。
例如:Encode.forhtml(inputparam)
使用 OWASP 编码器的基于上下文的编码有多种类型。如果您不确定编码器或验证模式,请尝试以下跨站点脚本验证器以确保工作(正确)修复方法。
Java 的 XSS 验证器:http://fixforscrossite.us-east-2.elasticbeanstalk.com/
【讨论】: