这段Java代码足以抵御XSS吗？

这种Java方法适合于防止跨站点脚本编写吗？它是一个在Jetty中运行的Servlet。输入来自用户的HTTP请求（我们需要处理URI、参数值、头值和正文），我们清理它，输出是清理后的输入作为用户浏览器的HTTP响应的反映

字符串清理（字符串污染）{
字符串=”；
对于（int i=0；i

安全是一场艰难的战斗，最好留给那些工作就是及时了解这些问题的人。OWASP提供了一个Java编码库，可以为您解决这些问题（您可以通过快速的谷歌搜索找到它）。

是的，我同意，有OWASP ESAPI、Jsoup等库。但是，问题是关于上面的代码。够好吗？它能被攻击吗？我的开发者认为它是好的。如果不是这样的话，我需要给他们提供证据。OWASP还为基于DOM的XSS预防提供了一份备忘单。我会反复检查，看看是否有任何明显的失败点。当有疑问时，写一些测试。我读了它，做了一些测试，不能攻击它，因此将它发布在这里，让其他人攻击，如果有漏洞的话。@Hackme-事情是这样的。如果你问一些随机上网的人（StackOverflow）一个重要的安全建议。。。你怎么知道你得到的建议是有效的？依我看，你最好自己做这方面的研究，如果你觉得自己没有能力，那就请一位声誉良好的独立安全顾问。（在这种情况下，你似乎更喜欢“随机”的建议，而不是你的内部（半）专家……你的开发者的建议。）@Hackme-所以不管答案如何，你都需要继续研究。为什么不使用一个已经被很多人测试和查看过的库呢？作为观察，您显示的代码会将合法的“&；”替换为使URL无效的“&；”。

doStuff（）

如果问题是代码是否易受XSS攻击，则不能是黑盒。如果

doStuff（）

执行某些操作，则可能会受到攻击。但最重要的是，即使

doStuff（）

是无害的，上面的代码仍然会最终导致XSS在一个足够复杂的组织中的一个足够复杂的代码库上。@GaborLengyel，问题不在于doStuff（）是否易受攻击。问题是clean（）是否易受攻击，以及如何攻击。为了简化，假设doStuff（）只回显输入。或者更简单，假设doStuff（）甚至不存在，删除它，假设只有clean（）存在。什么是脆弱性？@GaborLengyel，我没有读你答案的第二部分。假设clean（）方法不会随时间而改变，那么上面的代码如何“最终导致XSS”？你有一个例子吗？“足够复杂的代码库”和“足够复杂的组织”会如何使它变得脆弱？你有详细资料吗？