GWT干扰XSS预防措施
我目前正在开发一个GWT1.7.1应用程序,该应用程序处理大量用户生成的持久数据,因此存在恶意XSS的风险。我正在采取的防止这种情况的步骤之一是使用服务器端(是的,我很清楚这不会防止所有可能的XSS攻击,如前面提到的和)GWT干扰XSS预防措施,gwt,xss,Gwt,Xss,我目前正在开发一个GWT1.7.1应用程序,该应用程序处理大量用户生成的持久数据,因此存在恶意XSS的风险。我正在采取的防止这种情况的步骤之一是使用服务器端(是的,我很清楚这不会防止所有可能的XSS攻击,如前面提到的和) 这种方法会导致客户端问题,因为GWT似乎正在执行自己的客户端转义(例如,服务器返回字符串“Alice&;Bob Inc.”,并且“Alice&;Bob Inc.”正在呈现给DOM,这是不正确的)。这肯定是在客户端发生的,因为来自服务器的http响应包含正确编码的数据
这种方法会导致客户端问题,因为GWT似乎正在执行自己的客户端转义(例如,服务器返回字符串“Alice&;Bob Inc.”,并且“Alice&;Bob Inc.”正在呈现给DOM,这是不正确的)。这肯定是在客户端发生的,因为来自服务器的http响应包含正确编码的数据。我已经阅读了GWT的文档,没有找到任何关于此功能的参考有人知道禁用此行为的方法吗?您如何将服务器返回的值添加到页面?您是否可以将at添加为文本?如果您确定字符串是安全的,您可以将其添加为HTML(通常有一个HTML选项)或特定的小部件,如HTML 顺便说一句,通常最好不要从服务器返回HTML编码的值,因为您不知道如何使用它们。我使用的规则是,在最后一分钟之前(添加到文档中等),保持值的干净格式