Как предотвратить уязвимость XSS с помощью Struts

Question

Нам нужно добавить поддержку анти-XSS в наше приложение Struts. В частности, архитектор требует, чтобы все пользовательские вводные данные были «дезинфицированы» перед хранением в БД. Поскольку я не хочу изобретать квадратное колесо, какую библиотеку Java я могу использовать для этого? И где это сказать? В идеале он должен быть настраиваемым (какие поля ввода должны проверяться, а не все из них в запросе) и быстро. Моя первая мысль - проверщик Struts.

Заранее спасибо Луис

Answer 1

Если вы Seach Google для XSS Java фильтр, вы придумали много решений с открытым кодом, такие как этот one.

Вы также можете посмотреть OWASP validation project.

Answer 2

Я рекомендую вам ознакомиться с OWASP's ESAPI project. Он разрабатывается уже более года и приближается к выпуску 2.0.

Для сохранения значений, хранящихся в базе данных, проверьте метод Encoder.encodeForSQL() (reference implementation).

Для проверки правильности ввода проверьте контролер (reference implementation).

Примечание: я понимаю, что функциональность, предоставляемая более старыми проектами, такими как Stinger и CSRFGuard, включена в ESAPI.