Je sais que cela a été demandé auparavant, mais j'essaie de comprendre comment empêcher les attaques XSS pour mon application Web Spring MVC.Prévenir XSS au printemps MVC
1) J'ajouté ce qui suit à mon web.xml
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
2) Dois-je aussi utilise StringEscapeUtils.escapeHtml Commons() pour chaque propriété dans l'objet de commande sous forme avant de l'enregistrer dans la base de données ? Aurais-je besoin d'unescape à un moment donné?
Merci
Cela semble très lourd pour ce que j'essaie de faire. Je veux juste un moyen simple d'échapper à des personnages malveillants, puis les oublier quand je les présente dans la vue. – user879220
Vous avez raison. Mais si vous voulez rendre votre application web complètement sécurisée avec d'autres attaques, alors il faut aller avec quelque chose comme HDIV. Il affectera sûrement de 2-3% à vos performances, mais c'est acceptable. –
Je ne suis pas d'accord. L'utilisation d'un WAF est une couche de défense précieuse, mais elle n'est pas une excuse pour créer des applications vulnérables et ne vous rend pas "totalement sécurisé" par tous les moyens. – droope