инъекция javascript в калитку
-
06-07-2019 - |
Вопрос
У меня есть проект J2EE, в котором используется фреймворк wicket. Я хочу знать, как я могу предотвратить инъекцию javascript в калитку?
Решение
Хотя я не думал, что способ, которым вы сформулировали свой вопрос, заслуживает его (без подробностей, без фона, без примера постановки проблемы, подразумеваемой восприимчивости к инъекциям и т. д.), я откопал некоторые подробности из превосходного Калитка в действии :
Калитка защищена по умолчанию
Вам никогда не нужно беспокоиться о 14-летние прыщавые лица пытаются взломать ваше веб-приложение. Для этого им придется угнать сессию а затем угадать правильную страницу идентификаторы и номера версий, которые будет относительно сессии и соответствующие пути компонентов. Вы & # 8217; d должен быть настойчивым хакером, чтобы вытащить это выключено. Вы можете сделать свою калитку приложение еще более защищено от по умолчанию путем шифрования запросов с помощью, например, CryptedUrlWebRequestCodingStrategy.
Другие советы
Все компоненты Wicket по умолчанию экранируют строки (по меткам, текстовым полям и т. д.), что позволяет избежать наиболее распространенных проблем, связанных с внедрением JavaScript.
Однако следует соблюдать осторожность, если по какой-то причине вы отключите это поведение ( component.setEscapeModelStrings (false)
) или создадите пользовательские компоненты (если вы записываете разметку непосредственно в выход). р>