Межсайтовые сценарии (XSS) – это тип уязвимости безопасности в веб-приложениях, когда злоумышленник внедряет вредоносные сценарии с помощью какого-либо пользовательского ввода (например, полей ввода, параметров URL, заголовков HTML и т. Д.) Важно предотвращать атаки XSS для обеспечения конфиденциальности, целостности и доступности информации веб-приложения. Отражены и сохранены два основных недостатка межсайтовых сценариев:
Вредоносный контент из запроса пользователя отображается пользователю или записывается на страницу после ответа сервера. Например, на следующем снимке экрана поле номера кредитной карты уязвимо. После номера есть скрипт, который нужно ввести:
При нажатии кнопки “Купить” отображаются окна предупреждений:
Исправление ошибки в Java
Если у вас есть строка RequestParam, избегайте обработки ее без очистки:
Кодировщик Java OWASP имеет метод, вызываемый для Html для этой цели:
Теперь поле печатается как текст, но оно не выполняется:
Полезная нагрузка сохраняется. Например, на следующем скриншоте вы можете видеть, что скрипт добавлен в качестве комментария. При загрузке страницы скрипт выполняется и печатается как часть кода.
Исправление ошибки в Java
Решение состоит в том, чтобы очистить тело запроса перед его обработкой:
Теперь комментарий печатается в виде текста, но не выполняется:
Оригинал: “https://dev.to/eidher/handling-cross-site-scripting-xss-in-java-1pe6”