我们的AEM应用程序中存在跨站点脚本问题。我们决定在提交请求之前检查任何脚本。我们如何检查服务器端的SOAP请求中是否有可用的脚本(Java)。这是避免跨站点脚本问题的正确解决方案吗?
答案 0 :(得分:2)
这是一个非常广泛的问题,我们无法提供任何实现细节,因为我们不了解您的任何架构或实现细节。但是,要记住一些常见的XSS事项:
curl,PostMan等)发出的HTTP请求来轻松绕过这一点。在处理表单提交的请求时,您需要在服务器端检查错误数据。至于如何在CQ服务器端执行此类操作:Adobe建议您阅读:
这些网页上的PDF“备忘单”链接可能会非常有用。
有多种方法可以缓解XSS风险。白名单数据只允许已知的良好数据,黑名单数据以阻止任何已知的错误数据,编码数据以防止脚本被视为HTML。有关如何做的优秀阅读请注意OWASP recommendations
答案 1 :(得分:-1)
查看XSSAPI,您可以使用此API中的方法来防止XSS安全风险 另一方面,您可能会开始使用sightly,它提供自动上下文XSS protection。