在wicket中注入javascript
-
06-07-2019 - |
题
我有使用wicket框架的J2EE项目。 我想知道如何防止wicket中的javascript注入?
解决方案
虽然我没有想到你提出问题的方式应该得到它(没有细节,没有背景,没有示例问题陈述,暗示注射的可接受性等),我从优秀的 Wicket in Action :
Wicket默认是安全的
你永远不必担心 面对疙瘩的14岁小孩试图 破解你的网络应用程序。为此, 他们将不得不劫持会议 然后猜出正确的页面 标识符和版本号, 将是相对于会议和 相关的组件路径。你 必须是一个持久的黑客拉 那个。你可以制作你的Wicket 应用程序更加安全 默认情况下加密请求, 例如, CryptedUrlWebRequestCodingStrategy。
其他提示
默认情况下,所有Wicket组件都会转义字符串(通过标签,TextFields等),这可以避免与javascript注入相关的大多数常见问题。
但是,如果您出于某种原因禁用此行为( component.setEscapeModelStrings(false)
),或者创建自定义呈现的组件(如果您将标记直接写入输出)。
不隶属于 StackOverflow