Jsp 强化跨站点脚本：验证不佳_Jsp_Jstl_Xss_Fortify

Jsp 强化跨站点脚本：验证不佳

jsp

Jsp 强化跨站点脚本：验证不佳,jsp,jstl,xss,fortify,Jsp,Jstl,Xss,Fortify,我已经使用JSTL标记修复了JSP上报告的XSS漏洞问题Fortify。但在使用后，尽管XSS漏洞问题已得到解决，但它导致了一个新问题，即“XSS:Poor Validation”。我还可以实施哪些其他可能的解决方案来解决这个糟糕的验证问题 Fortify建议HTML/XML/URL编码不是一种好的做法，因为代码将在运行时解码，这仍然可能导致XSS攻击我使用的是注入了spring的struts框架。我有用户可以提供输入的字段以及从数据库读取的字段。我一直在寻找可能的解决办法，但还没有找到一个

我已经使用JSTL标记修复了JSP上报告的XSS漏洞问题Fortify。但在使用后，尽管XSS漏洞问题已得到解决，但它导致了一个新问题，即“XSS:Poor Validation”。我还可以实施哪些其他可能的解决方案来解决这个糟糕的验证问题

Fortify建议HTML/XML/URL编码不是一种好的做法，因为代码将在运行时解码，这仍然可能导致XSS攻击

我使用的是注入了spring的struts框架。我有用户可以提供输入的字段以及从数据库读取的字段。我一直在寻找可能的解决办法，但还没有找到一个

谢谢，

Deena

根据输出数据的位置使用适当的编码。可以找到详细信息-以及有关OWASP的

AntiSamy

和

JavaHTML消毒剂的信息
此外，在适当的情况下，也可以使用
 使用OWASP编码器Jar。Fortify解决了我的跨站点脚本问题
从以下URL下载jar。第二个选项卡有示例。

片段：
<body><%= Encode.forHtml(UNTRUSTED) %></body>



使用OWASP编码器Jar。Fortify解决了我的跨站点脚本问题。从以下URL下载jar。第二个选项卡有示例。