REST調用的XSS預防
[英]XSS prevention for REST calls
問題描述
我們面臨XSS攻擊我們的應用程序的問題。 我們通過對GET請求使用常規過濾器來防止這種情況。
我們正在對應用程序使用RESTEasy REST Web服務調用。 我們的過濾器未過濾GET / POST / DELETE / PUT請求中的數據。
基本要求是我們還需要檢查所有字段,標頭和cookie上的XSS攻擊。
在調用方法之前,我們如何獲取已發布的值。 就像過濾器一樣,我們對常規請求進行了處理。 我正在為我們的應用程序使用resteasy2.0版本。
無論如何,在調用rest方法之前是否有更新請求包裝的信息。 請給我們一些建議。 提前致謝。
謝謝,戈文德。
2 個解決方案
解決方案1
3 2013-12-06 14:02:27
Resteasy 2.0允許您在JAX-RS調用上使用攔截器,並通過類似偵聽器的對象路由它們。
在調用JAX-RS資源方法之前,可以聲明一個攔截器來檢查您的請求正文和/或頭。
您可以在此處查看文檔: Resteasy攔截器文檔
有關如何使用它的示例: Resteasy攔截器示例
解決方案2
1 2013-12-06 13:56:57
如果我對它的理解正確,則需要一個類似Servlet的過濾器,以便可以在每個請求到達REST函數之前對其進行處理。 它還將使您的實現對所有REST通用。 如果我錯了,請糾正我。
盡管我從未使用過resteasy2.0,但我想到了一個簡單的解決方案。 您可以編寫一個通用函數,然后從REST方法的第一行調用該函數。 檢查該函數中的腳本元素,如果發現拋出錯誤或執行其他操作。
使用JSTL標記轉義XML來防止XSS是否有任何弊端
[英]Are there any drawbacks of using JSTL tags for escaping XML for XSS prevention
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.