如何防止XSS攻擊tomcat 5.5

Question

我正在使用tomcat 5.5.36。 我使用JSP構建了一個應用程序。 我使用“ toolOwasp Zap安全工具”來掃描我的應用程序。 在報告中，我發現了與XSS相關的問題。 我正在使用一種形式登錄用戶，並通過帖子發送。

在報告中它的說法是跨站點腳本（反映）

參數-用戶名攻擊- </span><script>alert(1);</script><span>證據- </span><script>alert(1);</script><span>

我正在使用sesson id來認證用戶。 我已經閱讀了很少的有關XSS攻擊的文檔，但是找不到合適的解決方案，該解決方案可以與給定的tomcat版本一起使用。 （注意：是否有使用CSRF令牌的解決方案。）

Answer 1

首先贊美是為了！

您已采取了最大的措施來保護應用程序安全並成為一名出色的開發人員-您實際上已將其視為安全性。 認真的說，這使我對開發人員的未來感覺更好，因為行業中很少有人能做到那么遠。 做得好 ：-）

現在好玩了：保護您的應用程序免受跨站點腳本攻擊或其他任何類型的漏洞，實際上僅通過在Tomcat中安裝或啟用某些功能就無法實現，事實上，您使用的Tomcat不應確實與任何應用程序級別的漏洞有關。 此外，跨站點請求偽造是一個單獨的，不相關的漏洞。 對不起:-(

暫時看一下您的特定示例-基本上，您遇到的問題是您的應用程序正在接受用戶輸入到登錄表單中的任何輸入，並在不進行清理的情況下將其打印在頁面中。 在報告中，它告訴您它嘗試使用用戶名</span><script>alert(1);</script><span>登錄，並發現該腳本和警報已在響應中打印出來。

您可以自己嘗試此操作，然后會看到問題-您將收到警報彈出窗口。

不幸的是，沒有簡單的開關可以翻轉來保護您的應用程序。 您必須了解並了解所有常見的漏洞類型，然后學習與每種類型對抗的標准方法和工具。

OWASP Top 10 Wiki是一個很好的起點，您可以在其中找到有關各種漏洞，它們是什么，它們如何工作以及應該采取哪些措施來防范這些漏洞的大量信息。

https://www.owasp.org/index.php/Top_10_2013-Top_10

您甚至可以找到代碼示例和有效的示例來提供幫助。

我有點想帶領一只小羊在這里宰殺-我知道通讀所有這些內容將是令人生畏的，但是要花點時間，不要驚慌。 了解每種漏洞類型后，您會發現大多數漏洞都很容易預防。

希望這會有所幫助，查理