个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
除了 OWASP XSS 过滤软件之外,还有其他方法可以防止 XSS 攻击吗?如果可以在 apache 级别进行阻止,我需要建议。我不是安全专家,因此需要详细信息。感谢您的帮助
最佳答案
当数据向最终用户显示时,表示层会出现 XSS 问题。因此,在 apache 级别防止这种情况并不是一个有效的方法。
OWASP ESAPI 是一个库(不是过滤器软件),它提供 XSS 保护作为 API 以在表示层中对数据进行编码。每当要显示受用户输入影响的内容时,都应应用正确的编码。例如,OWASP XSS prevention Cheat Sheet有以下 Javascript 上下文示例:
String safe = ESAPI.encoder().encodeForJavaScript( request.getParameter( "input" ) );
这一个用于“HTML 属性”上下文:
String safe = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( "input" ) );
正确的编码取决于当前上下文(html、html 属性、javascript 等)
如果您不想使用 OWASP 库,您可以使用其他库(例如 apache.commons.StringEscapeUtils)进行编码。但您需要非常小心地根据您的情况选择正确的方法。
关于java - XSS攻击: Alternative to OWASP?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22528264/
25
4
0
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的,
我正在使用 gradle 1.4,并将 build.gradle 重命名为 buildExpr.gradle,将 settings.gradle 重命名为 settingExpr.gradle,这两个
使用 Ubuntu 16.04.7 我试图将 python3.8 作为我的默认 python 版本。我按照 here 给出的说明进行操作,但最终标准 python 版本没有改变。每当我运行 pytho
关闭。这个问题需要更多focused .它目前不接受答案。 想改善这个问题吗?更新问题,使其仅关注一个问题 editing this post . 6年前关闭。 Improve this questi
我有一个函数,它对其参数进行模式匹配,以在 StateT () Maybe () 中生成计算。这个计算在运行时可能会失败,在这种情况下,我希望当前的模式匹配分支失败,可以这么说。 我非常怀疑是否可能有
我知道这类问题已经回答过几次,但我给出了问题的上下文以期待一些其他的架构替代方案。 考虑一个 CExpression 类: class CExpression { public:
当我的红色、绿色或蓝色变量发生变化时,我正在尝试使用 Combine 来更新颜色。我看过的示例使用 sink() ,这似乎适合我,但 eraseToAnySubscriber 是 MIA,我找不到替代
最近我不得不搜索一些字符串值来查看哪个匹配某个模式。在用户输入搜索词之前,字符串值的数量和模式本身都不清楚。问题是我注意到每次我的应用程序运行以下行时: if (stringValue.mat
我希望制作包含类对象列表的类对象的深拷贝,每个类对象都有自己的一组内容。对象不包含比整数和列表更令人兴奋的东西(没有字典,没有等待生成的生成器等)。我在一个循环中对 500-800 个对象执行深度复制
我正在尝试在表格中插入一个简单的行。有人可以指出这里发生了什么吗? CREATE TABLE recommendation_engine_poc.user_by_category (
使用 Get-ChildItem | Get-Member 我可以看到对象的方法和属性。但是我如何看到例如的不同可能值属性?我可以用 Get-ChildItem | Where-Object {$_.
我有一个任务是编写简单的解析器生成器,所以我编写了类似 ANTLR 的语法并尝试解析像“foo:bar;”这样的简单文件,但得到了以下输出: [@0,0:2='foo',,1:0] [@1,3:3='
这个问题已经有答案了: Why order matters in this RegEx with alternation? (3 个回答) Order of regular expression op
Ax 2009 中的 MorphX 报表设计器似乎不是“最好的”报表设计器。我不知道是不是我的错,或者 morphx 报表设计器是否有太多错误而无法完成他的工作。我猜是否有一些替代方案可以为 Ax 2
除了 OWASP XSS 过滤软件之外,还有其他方法可以防止 XSS 攻击吗?如果可以在 apache 级别进行阻止,我需要建议。我不是安全专家,因此需要详细信息。感谢您的帮助 最佳答案 当数据向最终
在我的 Java EE 7 程序中,我想使用 @Alternative 根据上下文、生产或测试来注入(inject)不同的实现。我所做的就是在 beans.xml 文件中声明用 @Alternativ
我有一个文本文件,其中包含遵循替代模式的行,例如: name: SomeName counterA: 0, counterB: 0, counterC: 0 name: SomeNameB count
我知道标准的单例模式是这样的: 原创 public class Singleton1 { public static Singleton1 _Instance; public stat
在 Haskell 中,您可以像这样为临时变量创建 where 条件: f x | cond1 x = a | cond2 x = g a | otherwise = f (h x
我认为我能找到的所有适用于 Android 的自定义按钮教程都假设您使用三种图像作为按钮:普通图像、按下图像和聚焦图像。 不是本质上将给定按钮资源的大小增加三倍(并为美工/UX 人员创造更多工作),是
我是一名优秀的程序员,十分优秀!