XSS与Solr,安全性与可用性

2020-09-16 12:14发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家等。 等,

我们有一家公司为我们进行安全审核,我们意识到我们容易受到某些微妙形式的XSS的攻击,例如:

 " onfocus =" alert(document.cookie)
  searchterms = test%22%20onmouseover =%22alertt()%22%3E%3Ca =%22
  searchterms = test"%3E%3Cimg src= x onerror =" alert()" a ="

  

我们依靠XSSFilter,但是这种方法意味着拥有黑名单,并且黑名单很快就会老化。 我们知道建议的方法是使用像Akamai这样的WAF,但是尽管如此,我们仍然认为我们需要在所有级别提供安全性。 这是我们正在做的:

首先,它们仍然依赖XSSFilter,但我们还使用以下方式对上下文进行HTML编码以反映输入内容:

  org.springframework.web.util.HtmlUtils.htmlEscape()

  

此方法可避免转义双引号,单引号和其他一些可能有问题的字符。 我们现在遇到的问题是Solr。 进行此更改后,我们将找不到描述带有特殊字符的产品,例如ü。

这里的问题是,是否可以以与HTML转义的文本一起使用的方式配置Solr?

亲切的问候,

L。

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


尊敬的专家等。 等,

我们有一家公司为我们进行安全审核,我们意识到我们容易受到某些微妙形式的XSS的攻击,例如:

 " onfocus =" alert(document.cookie)
  searchterms = test%22%20onmouseover =%22alertt()%22%3E%3Ca =%22
  searchterms = test"%3E%3Cimg src= x onerror =" alert()" a ="

  

我们依靠XSSFilter,但是这种方法意味着拥有黑名单,并且黑名单很快就会老化。 我们知道建议的方法是使用像Akamai这样的WAF,但是尽管如此,我们仍然认为我们需要在所有级别提供安全性。 这是我们正在做的:

首先,它们仍然依赖XSSFilter,但我们还使用以下方式对上下文进行HTML编码以反映输入内容:

  org.springframework.web.util.HtmlUtils.htmlEscape()

  

此方法可避免转义双引号,单引号和其他一些可能有问题的字符。 我们现在遇到的问题是Solr。 进行此更改后,我们将找不到描述带有特殊字符的产品,例如ü。

这里的问题是,是否可以以与HTML转义的文本一起使用的方式配置Solr?

亲切的问候,

L。

付费偷看设置
发送
1条回答
me_for_i
1楼-- · 2020-09-16 12:46

请在这里提供您的想法。

一周热门 更多>