inyección de JavaScript en wicket
-
06-07-2019 - |
Pregunta
Tengo un proyecto J2EE que usa el wicket framework. Quiero saber cómo puedo evitar la inyección de JavaScript en wicket.
Solución
Aunque no pensé que la forma en que formuló su pregunta lo mereciera (sin detalles, sin antecedentes, sin enunciado de problema de ejemplo, susceptibilidad implícita a la inyección, etc.), desenterré algunos detalles del Excelente Wicket en acción :
Wicket es seguro por defecto
Nunca necesitas preocuparte los niños de 14 años con cara de grano tratando de piratea tu aplicación web. Para hacerlo tendrían que secuestrar la sesión y luego adivina la página correcta identificadores y números de versión, que sería relativo a la sesión y Las rutas de componentes relevantes. Usted & # 8217; d tiene que ser un hacker persistente para tirar eso fuera. Puedes hacer tu Wicket aplicación aún más segura desde el por defecto encriptando solicitudes con, por ejemplo, CryptedUrlWebRequestCodingStrategy.
Otros consejos
Todos los componentes de Wicket escapan de las cadenas de forma predeterminada (por etiquetas, campos de texto, etc.), lo que evita los problemas más comunes relacionados con la inyección de JavaScript.
Sin embargo, debe tener el cuidado adecuado si deshabilita este comportamiento ( component.setEscapeModelStrings (false)
) por alguna razón, o crea componentes personalizados (si escribe el marcado directamente en el salida).