Javascript Injektion in Wicket
-
06-07-2019 - |
Frage
Ich habe J2EE-Projekt, das Wicket-Framework verwendet. Ich möchte wissen, wie kann ich von JavaScript-Injektion in Wicket verhindern?
Lösung
Obwohl ich nicht die Art und Weise denken habe, in dem Sie Ihre Frage formuliert hat es verdient (keine näheren Angaben, kein Hintergrund, keine Beispiel Problemstellung implizite Empfänglichkeit der Injektion, usw.), grub ich ein paar Details aus dem Excellent Wicket in Aktion :
Wicket ist standardmäßig sicher
Sie müssen sich nie darum kümmern, pickeliger 14-Jährigen versuchen, hacken Sie Ihre Web-Anwendung. Um dies zu tun, sie würde die Sitzung kapern und dann erraten die richtige Seite Identifikatoren und Versionsnummern, die seine relativ würde, um die Sitzung und die relevanten Komponentenpfade. Sie würden habe einen persistenten Hacker zu vollziehen dass ab. Sie können Ihre Wicket machen Anwendung noch sicherer von der Verzugs Verschlüsseln Anforderungen mit, zum Beispiel, CryptedUrlWebRequestCodingStrategy.
Andere Tipps
Alle Wicket Komponenten Strings standardmäßig entkommen (von Labels, Textfeldern, etc.), die Javascript-Injektion am häufigsten auftretenden Probleme im Zusammenhang vermeidet.
Sie angemessene Pflege nehmen sollen, aber, wenn Sie dieses Verhalten deaktivieren (component.setEscapeModelStrings(false)
) aus irgendeinem Grunde, oder erstellen Sie eigene gerenderte Komponenten (wenn Sie das Markup direkt an den Ausgang schreiben).