Tag: 跨站点

用于XSS预防的ESAPI不起作用

我正在我们的代码中主要在JSPS中修复Cross站点脚本问题。 以下是原始代码 //scriplet code 他们拥有相同的Jsp <input type = hidden name = "userID" value = "” /> 我做了更改，在lib和ESAPI.properties中包含esapi-2.1.0.jar，在classpath中包含validation.properties。 然后在下面更改scriplet代码以修复上面的代码 //scriplet code 我认为这可以解决问题，但是当我使用Fortify扫描我的代码时，这些行再次突出显示为有XSS问题。 如果你们对如何处理这个问题有任何想法，请帮忙。 谢谢。 ——-更新 非常感谢@avgvstvs。 这是非常有见地的.Follwd指南，不确定我是否有点想念。 代码 – String userSID=ESAPI.encoder().encodeForHTMLAttribute(request.getHeader(“janus_sid”)); session.setAttribute(“username”,userSID);<input type=hidden name="USERNAME" value="” 对于另一个varibale调试，下面是用法 String debugFlag = ESAPI.encoder().encodeForJavaScript(request.getParameter(“debug”));var debugFlag = “”;if(debugFlag == “y”){ document.title= title + ” (” + host + “)”; defaultAppTitle = […]