Dne 27.4.2012 16:23, Peter Štibraný napsal(a):
Ahoj,
odhliadnuc od faktu, ze c:out je na mnohych miestach absolutne nedostatocne
riesenie, tak sa musime spolahnut na to, ze vyvojari nezabudnu na spravnom
mieste pouzit spravne escapovanie. Ja dufam, ze sa najde i lepsie riesenie :-)
<c:out> musí proti XSS plně stačit. Naopak občas to může být příliš silné
řešení,
protože nedovolí vypsat vůbec žádné speciální znaky, a pokud byla aplikace
špatně
navržená a dovolovala uživatelům vkládat HTML, některou funkčnost <c:out> zruší.
Ale XSS spolehlivě zablokuje.
Když už jste v tom opevňování proti útokům, podívejte se taky na XSRF útoky,
proti těm se brání složitěji než proti XSS, a legacy aplikace proti nim nejspíš
taky nebude chráněná.
Makub
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
CERIT-SC Martin Kuba
Institute of Computer Science email: [email protected]
Masaryk University http://www.ics.muni.cz/~makub/
Botanicka 68a, 60200 Brno, CZ mobil: +420-603-533775
--------------------------------------------------------------
