我们需要在 Struts 应用程序中添加反 XSS 支持。最具体地说,架构师要求所有用户输入在存储到数据库之前必须进行“清理”。由于我不想重新发明方轮,我可以使用哪个 Java 库来实现此目的?以及把它放在哪里?理想情况下,它应该是可配置的(要检查哪些输入字段,而不是请求中的所有输入字段)并且快速。我第一个想到的是 Struts Validator。
提前致谢
路易斯
我建议你看看 OWASPESAPI项目 http://www.owasp.org/index.php/ESAPI。它已经开发了一年多,即将发布 2.0。
对于转义存储在数据库中的值,请查看 Encoder.encodeForSQL() 方法(参考实现 http://code.google.com/p/owasp-esapi-java/source/browse/trunk/src/main/java/org/owasp/esapi/reference/DefaultEncoder.java).
对于输入验证,请查看验证器(参考实现 http://code.google.com/p/owasp-esapi-java/source/browse/trunk/src/main/java/org/owasp/esapi/reference/DefaultValidator.java).
注意:我的理解是,旧项目(例如 Stinger 和 CSRFGuard)提供的功能已包含在 ESAPI 中。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)