java - 对所有用户输入进行编码以防止 rXSS

Question

我正在尝试解决一个安全漏洞以防止 xss。

我应该在存储到数据库之前对所有用户输入(例如 <> 标签)进行编码，还是应该将原始输入存储到数据库中，并仅在从数据库检索数据并在 HTML 上显示数据时对 HTML 进行编码？

Answer 1

反射式XSS是指在不存储脚本的情况下进行的攻击，它向客户端显示相同的输入。例如，在搜索中输入姓名，系统的答案是“未找到姓名”。在这种情况下，您可以放置​​脚本而不是名称。

如果您想存储输入以便稍后读取。它被称为存储型 XSS。如何预防？这是一个困难的部分。您可以使用白名单验证。如果您的输入是 HTML，您可以使用 OWASP_Java_HTML_Sanitizer_Project https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project

什么时候需要使用enconding？您需要根据使用数据的上下文对数据进行编码。例如，如果您需要在 HTML 页面上呈现数据，则需要在显示数据之前对 HTML 进行编码。但如果你需要在 JS 脚本上使用它，你需要使用 URL enconde。 enconde 取决于您使用数据的上下文。