1. Zuhause
  2. Frage und Antwort
  3. Wie verhindert Cross-Frame Scripting (XFS) im Anfrage-Parameter des Spring Boot Controllers mit der Request-Methode GET?

Wie verhindert Cross-Frame Scripting (XFS) im Anfrage-Parameter des Spring Boot Controllers mit der Request-Methode GET?

2017-02-08 2 views
-1

Auf GET-Anfrage, wie Anfrage Parameter für eine Sicherheitslücke gescannt werden können. Ich möchte überprüfen, ob Parameter a/b mit so etwas wie //“< iframe src = "http://www.goal.com/?" Infiziert istWie verhindert Cross-Frame Scripting (XFS) im Anfrage-Parameter des Spring Boot Controllers mit der Request-Methode GET?

@RequestMapping(value = "/XX/YYY", method = {RequestMethod.GET, RequestMethod.HEAD}) 
public String myCustomMethod(Model model, HttpServletRequest request, HttpServletResponse response, 
     @RequestParam(value = "a", required = false) String a, 
     @RequestParam(value = "b", required = false) String b) 
{ 

}

In diesem Codebeispiel>.

Quelle

2017-02-08 pokemon blue

+0

Ist Ihre Ausgabe in HTML enthalten gehen werden? –

+0

Ja, Ausgabe wird in HTML enthalten sein –

Antwort

0

die Verhinderung ich benutze, ist das nicht vertrauenswürdigen Eingaben zu kodieren, bevor sie als suggested by OWASP zur Ausgabe hinzufügen, die Open Web Application Security Project.

ich ihre ESAPI Bibliothek. hier finden Sie Links zu

Nachdem Sie die Bibliothek aufgenommen haben, suchen Sie die ESAPI.properties und validation.properties Dateien im configuration/.esapi Verzeichnis und kopieren Sie sie in root Ihres Projekts (wenn Sie Maven verwenden, src/main/resources). Diese Dateien geben die Strategie für die Validierung und Codierung an; Ich bin normalerweise gut mit den Standardeinstellungen.

Sie können dann den Encoder wie folgt verwenden:

Encoder encoder = ESAPI.encoder(); 
String aSafe = encoder.encodeForHTML(a); 
String bSafe = encoder.encodeForHTML(b);

Quelle

2017-02-19 11:56:29

Verwandte Themen

 Verwandte Themen