injection javascript dans le guichet
-
06-07-2019 - |
Question
J'ai un projet J2EE qui utilise un framework de guichet. Je veux savoir comment puis-je empêcher l'injection de javascript dans le guichet?
La solution
Bien que je ne pense pas que la façon dont vous avez formulé votre question le mérite (pas de détails, pas de contexte, pas d’exemple de problème, de susceptibilité implicite à l’injection, etc.), j’ai déterré quelques détails de l’excellent Le guichet en action :
Le guichet est sécurisé par défaut
Vous n'avez jamais besoin de vous inquiéter jeune homme de 14 ans qui tente de pirater votre application web. Faire cela, ils devraient détourner la session et ensuite devinez la bonne page identifiants et numéros de version, qui serait par rapport à la session et les chemins de composants pertinents. Vous avez d doivent être un pirate informatique persistant à tirer ça off. Vous pouvez faire votre guichet application encore plus sûre de la défaut en chiffrant les requêtes avec, par exemple, CryptedUrlWebRequestCodingStrategy.
Autres conseils
Tous les composants Wicket échappent par défaut aux chaînes (étiquettes, champs de texte, etc.), ce qui évite les problèmes les plus courants liés à l'injection javascript.
Toutefois, si vous désactivez ce comportement ( composant.setEscapeModelStrings (false)
) pour une raison quelconque, ou créez des composants à rendu personnalisé (si vous écrivez le balisage directement sortie).