1回答
我正在尝试实现ESAPI编码,以防止spring-mvc项目中的XSS攻击。我的方法是在将输入发送回响应之前,我将使用ESAPI.encoder()对其进行编码,以便在页面响应中对输入属性进行编码。我的假设是,当我返回编码的响应时,在我的页面响应中,我将获得编码的字符,在我的输入字段中,我将获
浏览 12提问于2019-07-12得票数 0
我试图通过对来自UI的内容进行编码将数据保存到数据库中,但是当我尝试这样做时当执行此代码时,获取以下异常
异常occurred:org.owasp.esapi.errors.ConfigurationException: java.lang.reflect.InvocationTargetException编码器类(org.owasp.esapi.refe
浏览 1提问于2019-03-29得票数 0
2回答
如何使用java和spring在应用程序中实现ESAPI输出编码。(ESAPI.encoder().encodeForHTML(content));%>"/><td>Number:"20" maxlength="18" id="firstfield" onkeypress="re
浏览 3提问于2014-01-16得票数 0
回答已采纳
org.owasp.esapi.reference.DefaultEncoder和org.owasp.encoder.Encode类都提供了一些VeraCode的来解决潜在的跨站点脚本攻击(XSS)。考虑到它们都来自OWASP,我不得不认为它们并不是多余的,但是有些方法看起来是要做同样的事情,例如DefaultEncoder.encodeForHTML(String)和Encode.forHtml(我想知道它们之间有什么不同,什么时候使用一个类而不是另一个类更好。
浏览 0提问于2018-09-06得票数 3
回答已采纳
1回答
目前我正在使用zend framework 1工作一个项目,我需要实现ESAPI来做xss验证。我在谷歌上搜索了一些很好的教程,但没有找到。有没有人可以帮我在网上找到一些好的教程?
非常感谢!
浏览 2提问于2014-04-11得票数 0
1回答
跨站点脚本攻击
、、
我想修复session.getparameter的jsp页面中的一个漏洞,以避免跨站点脚本attack.can任何人,请建议如何执行。(flag)session.setAttribute("gsaPartnerContactEmail",request.getParameter("name_id"));但声纳qube仍然在失败
浏览 2提问于2020-02-28得票数 0
我在Java中使用ESPAI来预防SQLInjection。我只使用ESAPI.encoder().encodeForSQL(ORACLE_CODEC,queryparam))方法。如果不将validation.properties包括在esapi.properties中,则会得到IllegaleStateException。
浏览 5提问于2016-02-06得票数 2
我正在开发一些用JavaScript编写的单页应用程序,目前使用的是lodash。我想通过以下方式防止使用标准库的跨站点脚本(XSS):2)根据输出的目标CSS、HTML、HTMLAttribute JavaScript、JSON等对输出进行编码
我已经看到了许多堆栈溢出的答案,但它们没有在标准库中提供完整的规范化/编码解决方
浏览 3提问于2017-01-03得票数 1
0回答
我们最近第一次在Java Spring应用程序上运行了Veracode扫描,发现了许多安全缺陷,我们可以确定的最好的解决方案是通过ESAPI对用户输入进行编码。编码功能:我们使用的是
浏览 5提问于2017-06-03得票数 1
1回答
ESAPI:输入和输出验证
、、、、
我是IT安全的新手,我的任务是为ESAPI提供输入和输出验证。Comment Expiry Month CVN 但我不明白输出验证是如何工作的
浏览 0提问于2013-07-31得票数 -3
我有一个应用程序与反映的XSS漏洞造成的一个未经验证的网址。我希望至少在客户端提供输出编码。我有权修改的前端页面,这是在html和js。我没有访问后端应用程序代码的权限,因此我不能在服务器端使用UrlEncoder.encode。我的问题是如何从客户端表单调用服务器端编码。我知道在jsp中我可以编写<@page import=org.owaps.es
浏览 2提问于2012-02-11得票数 2
1回答
我导入了ESAPI库,并尝试使用jsp中的以下代码-<s:property value="varUrl" />
<esapi:encodeForHTML><s:property value="varUrl"/></esapi:encodeFo
浏览 0提问于2016-04-20得票数 1
回答已采纳
1回答
我注意到OWASP已经有一段时间没有更新了(2016年和2013年之前的小更新)。是否有更好的替代方法来使用它,即使用维护更好的框架实用程序来表示、转义和验证用户输入、ala预防。/>或Struts 2或任何框架自己的输出和转义代码的方式。还是从安全的角度来看,总是使用OWASP是更好的选择呢?有什么想法?
浏览 0提问于2017-10-02得票数 7
回答已采纳
1回答
使用Referer的owasp.esapi过滤传入的请求参数和头部时,我遇到了一个问题,很明显,Referer头部包含一个被认为使用“多重编码”的值。server=http%3A%2F%2F123.abc.xx%3A7016%2Fxyz&o=1&language=en&t=a074faf3 不过对我来说,该url似乎是正确编码的,对它进行解码会得到一个完全可读且正确的ESAPI在标头值
浏览 59提问于2019-04-12得票数 1
4回答
包装或不包装ESAPI
、、、
我们有几个webapps,需要由ESAPI java库提供的功能。我和我的同事进退两难,是直接使用ESAPI,从而创建对ESAPI的直接依赖,还是创建一个将调用抽象为ESAPI的接口。通过抽象对库的依赖,我们可以灵活地在需要时轻松切换到其他选项。除此之外,我们可以定义我们自己的接口,这更有可能符合我们的需求。但是,当我们确定接口中需要的方法时,它
浏览 1提问于2014-05-01得票数 1
1回答
我们在应用程序中使用ESAPI安全层。根据设计,我们还使用'%‘字符进行从浏览器端传递的通配符搜索。这是一个糟糕的选择,并且作为遗留设计被保留下来,以便轻松地构建在后端运行的sql。现在,ESAPI验证器拒绝输入中的'%‘字符,以防止双重编码攻击。我们正在积极追求将“%”替换为“*”的想法。但在此期间,为了能够使用'%‘进行通配符搜索,我们正在权衡以下选项:
1)关闭ESAPI规范化程序
浏览 8提问于2018-01-09得票数 0
2回答
我正在修复我们的代码中的跨站点脚本问题,主要是在JSPS中。.%> <input type = hidden name = "userID" value = "<%= userId %>" />
我做了一些更改,将esapi-2.1.0.jar包含在库中,将ESAPI.properties、validation.properties包含在类路径中。("sid")
浏览 35提问于2015-04-01得票数 3
回答已采纳
3回答
我在HP fortify门户中扫描了我的应用程序,得到了一个问题:跨站点脚本:糟糕的验证(输入验证和表示,数据流)。我该怎么解决这个问题呢?
浏览 0提问于2016-02-12得票数 3
5回答
我一直在阅读各种注入类型的攻击,似乎摆脱这些漏洞的最好方法是对所有用户输入进行编码,以删除/替换某些字符(< >;等等)。非常感谢
浏览 1提问于2009-04-01得票数 0
回答已采纳
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号