我们的网站最近受到了XSS跨站点脚本攻击 - 类型1,我经历了几个网站,他们建议我们进行HTML编码/转义转义/扫描URL(使用过滤器)。
我们已使用过滤器扫描URL修复了URL跨站点脚本,并在继续执行控制器(Servlet)之前清除了URL。
至于信息,我们尝试过apache提供的名为“Mod_j security”的东西, 但我担心的是
如何对HTML输出进行最终编码?并且在显示之前是否有JBOSS或Apache中的任何配置设置来进行HTML编码?
请就此提出建议,因为它至关重要,需要尽早解决。
答案 0 :(得分:1)
XSS防御在输出期间需要传递意识。请参阅OWASP XSS预防备忘单。您必须在您的应用程序中执行此操作。在过滤器或apache中执行它会很好,但这是不可能的。上面提到的ThiefMaster只看到了完整的输出。此时几乎不可能找到攻击,因为存在大量可能的攻击。</ p>