iniezione javascript in wicket
-
06-07-2019 - |
Domanda
Ho un progetto J2EE che usa un framework wicket. Voglio sapere come posso impedire l'iniezione javascript in wicket?
Soluzione
Anche se non pensavo che il modo in cui hai formulato la tua domanda lo meritasse (nessun dettaglio, nessuno sfondo, nessun esempio di problema, suscettibilità implicita all'iniezione, ecc.), ho estratto alcuni dettagli dall'eccellente Wicket in Action :
Wicket è sicuro per impostazione predefinita
Non devi mai preoccuparti 14 anni brufolosi cercando di farlo hackerare la tua applicazione web. Fare così, avrebbero dovuto dirottare la sessione e poi indovina la pagina giusta identificatori e numeri di versione, che sarebbe relativo alla sessione e i percorsi dei componenti rilevanti. You & # 8217; d deve essere un hacker persistente da tirare quello fuori. Puoi creare il tuo Wicket applicazione ancora più sicura dal impostazione predefinita crittografando le richieste con, per esempio, CryptedUrlWebRequestCodingStrategy.
Altri suggerimenti
Tutti i componenti di Wicket sfuggono alle stringhe per impostazione predefinita (per etichette, campi di testo, ecc.), il che evita i problemi più comuni relativi all'iniezione javascript.
Dovresti prestare la dovuta attenzione, tuttavia, se disabiliti questo comportamento ( component.setEscapeModelStrings (false)
) per qualche motivo o crei componenti personalizzati (se scrivi il markup direttamente nel uscita).