Prajem dobry den a dakujem za odpoved.
Ano, s XSRF mame samozrejme tiez problemy, a mame v plane popasovat sa s nimi.
Ked si pozriete OWASP Top10, tak u nas najdete vzorku zo vsetkeho :-(
Co sa tyka c:out, tak to nepokryva vsetky potreby escapovania na HTML
strankach. Browser parsuje vstupny
Dne 27.4.2012 16:23, Peter Štibraný napsal(a):
Ahoj,
odhliadnuc od faktu, ze c:out je na mnohych miestach absolutne nedostatocne
riesenie, tak sa musime spolahnut na to, ze vyvojari nezabudnu na spravnom
mieste pouzit spravne escapovanie. Ja dufam, ze sa najde i lepsie riesenie :-)
musí pro
Jasne, jsou i lepsi knihovny.
Na odkazech, ktere prisly s dotazem je urcite najdete.
Daleko pracnejsi je ohlidat ty {}.
Lukas
2012/4/27 Peter Štibraný
> Ahoj,
>
> odhliadnuc od faktu, ze c:out je na mnohych miestach absolutne
> nedostatocne riesenie, tak sa musime spolahnut na to, ze vyvojari
Ahoj,
odhliadnuc od faktu, ze c:out je na mnohych miestach absolutne nedostatocne
riesenie, tak sa musime spolahnut na to, ze vyvojari nezabudnu na spravnom
mieste pouzit spravne escapovanie. Ja dufam, ze sa najde i lepsie riesenie :-)
-Peter
On Friday, 27. April 2012 at 16:14, Lukas Barton
Cau,
jednoducha dve pravidla:
a) vsecheno co jde na vystup escapovat - tj. nikde nepouzivat {} ale jen
c:out a custom tagy. Ty slozene zavorky pro vypis vystupu v JSP je IMHO
hodne velka chyba v navrhu vzhledem k XSS.
b) kdyz uz jde nekde ven (X)HTML tak procistit - treba pomoci Antisamy.
Dobry den prajem,
chcel by som sa spytat na vase skusenosti so zabezpecenim stredne velkej
webovej aplikacie voci cross-site scripting utokom [3]. Na generovanie weboveho
vystupu pouzivame JSP + JSTL. V aplikacii je niekolko stoviek JSP stranok.
Idealne riesenie by bola nejaka "context-sensiti