我们需要在Struts应用程序中添加anti-XSS支持。最具体地说,架构师要求在存储到DB之前必须对所有用户输入进行“清理”。因为我不想重新发明方形轮,我可以使用哪个Java库?在哪里放?理想情况下,它应该是可配置的(要检查的输入字段,而不是请求中的所有输入字段)和快速。我的第一个想法是Struts Validator。
提前致谢 圣路易斯
答案 0 :(得分:3)
我建议您查看OWASP的ESAPI project。它已经开发了一年多,并且正在接近它的2.0版本。
对于存储在数据库中的转义值,请查看Encoder.encodeForSQL()方法(reference implementation)。
对于输入验证,请查看验证器(reference implementation)。
注意:我的理解是,Stinger和CSRFGuard等旧项目提供的功能已包含在ESAPI中。
答案 1 :(得分:2)
如果您搜索谷歌搜索XSS Java过滤器,您将提出许多开源解决方案,例如one。
您还可以查看OWASP validation project。