在项目上线后,经过渗透性测试发现存在XSS攻击风险。为避免对POST请求的敏感过滤,选择了OWASP的AntiSamy项目来解决此问题。AntiSamy是一个确保用户输入的HTML等内容安全的API,防止恶意代码存储。本文介绍了如何在Java项目中使用AntiSamy,包括下载、依赖和实现过滤策略。
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。
为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSamy是一个可以确保用户输入的HTML、CSS、JavaScript符合规范的API。它确保了用户无法在HTML中提交恶意代码,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。
AntiSamy的下载地址:
官方网站:https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project
最低0.47元/天 解锁文章
扫一扫
483
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
