点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)尊敬的专家等。 等, 我们有一...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)尊敬的专家等。 等, 我们有一...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
尊敬的专家等。 等,
我们有一家公司为我们进行安全审核,我们意识到我们容易受到某些微妙形式的XSS的攻击,例如:
" onfocus =" alert(document.cookie)
searchterms = test%22%20onmouseover =%22alertt()%22%3E%3Ca =%22
searchterms = test"%3E%3Cimg src= x onerror =" alert()" a ="
我们依靠XSSFilter,但是这种方法意味着拥有黑名单,并且黑名单很快就会老化。 我们知道建议的方法是使用像Akamai这样的WAF,但是尽管如此,我们仍然认为我们需要在所有级别提供安全性。 这是我们正在做的:
首先,它们仍然依赖XSSFilter,但我们还使用以下方式对上下文进行HTML编码以反映输入内容:
org.springframework.web.util.HtmlUtils.htmlEscape()
此方法可避免转义双引号,单引号和其他一些可能有问题的字符。 我们现在遇到的问题是Solr。 进行此更改后,我们将找不到描述带有特殊字符的产品,例如ü。
这里的问题是,是否可以以与HTML转义的文本一起使用的方式配置Solr?
亲切的问候,
L。
请在这里提供您的想法。
一周热门 更多>