Как защититься от XSS атак в приложении Grails

Question

В моих Грааль приложения я извлечение текста из params и использования, что в качестве параметров в моих доменных запросах:

Например:

def color = Colors.findByName(params.colorname) 

Я представить себе кого-то мог бы играть с параметром params.colorname для запуска плохих запросов по моей базе данных mysql.

Каковы некоторые из лучших практик для защиты от таких вещей?

Answer 1

Когда вы визуализируете поле в своем представлении, которое потенциально может содержать атаку XSS, вам необходимо закодировать его как HTML. Вы должны сделать все поля, содержащие ввод пользователя, закодированы. Все стандартные теги Grails кодируются как HTML. Если вы используете ${}, вы можете столкнуться с проблемой. Вам нужно либо вручную закодировать его, как ${colorname.encodeAsHTML()}, либо использовать тег типа fieldValue, если это свойство bean.

Вы также можете установить глобальный кодек по умолчанию с grails.views.default.codec = "html" в Config.groovy.

Следите за двойным кодированием и убедитесь, что вы кодируете как HTML в свои собственные теги.

Вы также ссылаетесь на атаки SQL-инъекций, которые отличаются от атак XSS. Вы рискуете только инъекцией SQL, если вы пишете собственный SQL или HQL и напрямую интерполируете ввод пользователя в SQL/HQL. Это означает, что Colors.executeQuery("from Colors where name like ?", params.colorname) вместо Colors.executeQuery("from Colors where name like $params.colorname").