injeção javascript no postigo
https://stackoverflow.com/questions/1216213
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho projeto J2EE que usa quadro postigo. Eu quero saber como posso impedir de injeção javascript no postigo?
Solução
Embora eu não acho que a maneira em que você formulou sua pergunta merecia (nenhum detalhe, nenhum fundo, nenhuma declaração problema exemplo, susceptability implícita a injeção, etc), eu desenterrar alguns detalhes do excelente Wicket em Ação :
Wicket é seguro por padrão
Você nunca precisa se preocupar com 14 anos de idade com cara de espinha tentando cortar o seu aplicativo web. Para fazê-lo, eles teriam de sequestrar a sessão e, em seguida, acho que a página direita identificadores e números de versão, que seria em relação à sessão e os caminhos componentes relevantes. você teria tem que ser um hacker persistente para puxar que fora. Você pode fazer seu Wicket aplicação ainda mais seguro do padrão, criptografando as solicitações com, por exemplo, CryptedUrlWebRequestCodingStrategy.
Outras dicas
Todos os componentes Wicket escapar cordas por padrão (por rótulos, TextFields, etc.), o que evita problemas mais comuns relacionados à injeção javascript.
Você deve tomar cuidado apropriado, porém, se você desativar esse comportamento (component.setEscapeModelStrings(false)) por algum motivo, ou criar componentes feitos sob prestados (se você escrever a marcação diretamente para a saída).
