Prévenir XSS au printemps MVC

Question

Je sais que cela a été demandé auparavant, mais j'essaie de comprendre comment empêcher les attaques XSS pour mon application Web Spring MVC.

1) J'ajouté ce qui suit à mon web.xml

<context-param> 
    <param-name>defaultHtmlEscape</param-name> 
    <param-value>true</param-value> 
</context-param>  

2) Dois-je aussi utilise StringEscapeUtils.escapeHtml Commons() pour chaque propriété dans l'objet de commande sous forme avant de l'enregistrer dans la base de données ? Aurais-je besoin d'unescape à un moment donné?

Merci

Answer 1

Pour l'instant, j'ai décidé d'assainir mes données et de supprimer toutes les balises HTML pour éviter les attaques JavaScript. J'utilise Jsoup API pour faire cela.

http://jsoup.org/cookbook/cleaning-html/whitelist-sanitizer

Answer 2

Même si échapper html par défaut arrête XSS dans de nombreux contextes, il y a certainement contextes où cela ne fonctionne pas. Voir un exemple ici: http://erlend.oftedal.no/blog/?id=124 Je vous recommande de consulter la fiche de prévention OWASP XSS. Il explique quand vous devez utiliser différentes échappées. En ce qui concerne 2 ne s'échappent pas avant de le mettre dans le db. La routine d'échappement pourrait avoir des erreurs et vous ne pouvez pas être sûr que les données seront utilisées dans le même contexte à chaque fois

Answer 3

Je préfère que vous essayiez l'API HDIV pour ce type de sécurité des données sur votre application. Il empêche ceci et d'autres 7 attaques possibles différentes sur votre application web. J'explore actuellement la même API à utiliser avec Spring Framework.

Click here for HDIV home page.

espoir que cela vous aide.