Java에서 XSS(교차 사이트 스크립팅) 처리
웹 애플리케이션 정보의 기밀성, 무결성 및 가용성을 보호하기 위해 XSS 공격을 방지하는 것이 중요합니다. 두 가지 주요 교차 사이트 스크립팅 결함이 반영되고 저장됩니다.
반영된 XSS
사용자 요청의 악성 콘텐츠는 사용자에게 표시되거나 서버 응답 후 페이지에 기록됩니다. 예를 들어 다음 스크린샷에서 신용 카드 번호 필드는 취약합니다. 숫자 뒤에 삽입할 스크립트가 있습니다.
<script>alert('my javascript here')</script>
구매 버튼을 클릭하면 경고 창이 표시됩니다.
Java의 결함에 대한 패치
String RequestParam이 있는 경우 삭제 없이 처리하지 마십시오.
OWASP Java encoder 그 목적을 위해 forHtml이라는 메소드가 있습니다.
이제 필드는 텍스트로 인쇄되지만 실행되지는 않습니다.
저장된 XSS
페이로드가 유지됩니다. 예를 들어 다음 스크린샷에서 스크립트가 댓글로 추가된 것을 볼 수 있습니다. 페이지가 로드되면 스크립트가 실행되고 코드의 일부로 인쇄됩니다.
Java의 결함에 대한 패치
해결 방법은 처리하기 전에 RequestBody를 삭제하는 것입니다.
이제 주석이 텍스트로 인쇄되지만 실행되지는 않습니다.
Reference
이 문제에 관하여(Java에서 XSS(교차 사이트 스크립팅) 처리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://dev.to/eidher/handling-cross-site-scripting-xss-in-java-1pe6
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
<script>alert('my javascript here')</script>
페이로드가 유지됩니다. 예를 들어 다음 스크린샷에서 스크립트가 댓글로 추가된 것을 볼 수 있습니다. 페이지가 로드되면 스크립트가 실행되고 코드의 일부로 인쇄됩니다.
Java의 결함에 대한 패치
해결 방법은 처리하기 전에 RequestBody를 삭제하는 것입니다.
이제 주석이 텍스트로 인쇄되지만 실행되지는 않습니다.
Reference
이 문제에 관하여(Java에서 XSS(교차 사이트 스크립팅) 처리), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/eidher/handling-cross-site-scripting-xss-in-java-1pe6텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
좋은 웹페이지 즐겨찾기
