我的JSP中的以下代码导致输入标记上存在跨站点脚本漏洞。
<td id="locale-block" align="left" style="visibility: hidden; height: 0;">
<input type="text" id="locale" name="locale" text="eng" value = "eng">eng
</td>
在渗透测试期间,他们能够通过在标记的value属性中注入警报脚本来向用户发出一些随机消息,如下所示
</script><script>alert(1);</script><script>
应该采取什么措施来避免这种情况?是否有任何简单的解决方案不涉及付费的第三方付费图书馆?
答案 0 :(得分:1)
实际上有一个很好的第三方库,很容易照顾卫生,称为OWASP。
我在2014年JFokus上首次听到了关于JAVA安全的演讲,来自WhiteHat Security Jim Manico。
检查出来:here