如何实现JavaESAPI来防止XSS?
我读过很多帖子,认为ESAPI for Java可以通过使用和来防止XSS。顺便说一下,我正在使用Eclipse。我没有使用Maven或Spring 我的问题是:如何实现JavaESAPI来防止XSS?,java,xss,esapi,Java,Xss,Esapi,我读过很多帖子,认为ESAPI for Java可以通过使用和来防止XSS。顺便说一下,我正在使用Eclipse。我没有使用Maven或Spring 我的问题是: 如何实现JavaESAPI来防止XSS 除了在构建路径中添加ESAPI jar之外,还需要其他配置吗 提前感谢您的回答。防止XSS有一些技巧。验证器允许您定义要接受/拒绝的输入字符。但也有不同上下文的概念,这就是编码器类的用武之地。在你的职业生涯中,有时你会被迫接受字符作为输入,这些字符可以用来攻击浏览器 基本的ESAPI实现如下:根
提前感谢您的回答。防止XSS有一些技巧。验证器允许您定义要接受/拒绝的输入字符。但也有不同上下文的概念,这就是编码器类的用武之地。在你的职业生涯中,有时你会被迫接受字符作为输入,这些字符可以用来攻击浏览器 基本的ESAPI实现如下:根据白名单拒绝输入字符。根据输出上下文使用编码器实现。。。在做出与以下方面相关的决策时,技巧部分会起作用:“我是先为HTML编码,还是先为Javascript编码?其中任何一个都可能对应用程序产生影响,需要根据应用程序的需要来决定。我有一些应用程序要求用户输入有效的Javascript,例如。。。在这种情况下,你需要非常小心
回答你的第二部分:是的。现在您可能知道,ESAPI需要定义两个属性文件。。。validation.properties和esapi.properties。您可以自己将它们编译到JAR文件中(这需要您学习maven,所以可能不会…),或者使用标准-Dmy.property语法在运行时指定java位置。加载异常实际上会引导您找到正确的路径 更新了我对问题的答案。2