ウィケットでのjavascriptインジェクション
-
06-07-2019 - |
質問
ウィケットフレームワークを使用するJ2EEプロジェクトがあります。 Wicketでのjavascriptインジェクションを防ぐ方法を知りたいですか?
解決
質問を作成する方法に値するとは思いませんでしたが(詳細なし、背景なし、問題文の例なし、インジェクションへの感受性の暗示など)、私は優秀な Wicket in Action :
Wicketはデフォルトで安全です
心配する必要はありません にきびに直面している14歳 Webアプリケーションをハックします。そうするには、 彼らはセッションをハイジャックする必要があります そして、正しいページを推測します 識別子とバージョン番号 セッションに関連し、 関連するコンポーネントパス。あなた’ d 引き抜くために永続的なハッカーである必要があります オフ。 Wicketを作成できます より安全なアプリケーション デフォルトでリクエストを暗号化することにより、 例えば、 CryptedUrlWebRequestCodingStrategy。
他のヒント
すべてのWicketコンポーネントはデフォルトで文字列をエスケープします(Labels、TextFieldsなどによる)。これにより、javascriptインジェクションに関連する最も一般的な問題が回避されます。
ただし、何らかの理由でこの動作( component.setEscapeModelStrings(false)
)を無効にする場合、またはカスタムレンダリングコンポーネントを作成する場合(マークアップを直接書き込む場合、出力)。
所属していません StackOverflow