GWT关于XSS的安全性
问题描述:
我正在构建GWT应用程序。但我不希望用户输入任何HTML或JavaScript。没有条目应该被解释为html或javascript。你能建议任何符合我需求的Java库吗?GWT关于XSS的安全性
答
这是您的责任,以消除用户输入,但GWT自己做了大量的XSS保护。你可以做使用基本的消毒GWT的内置SimpleHtmlSanitizer.sanitizeHtml(input);
答
的HtmlSanitizer接口文档清晰地写着“SafeHtml不应该用它发送到服务器之前净化输入。”所以如果你“不想让用户输入任何html或javascript”,那么这不是解决方案。
我发现在Sanitizer中内置的白名单中没有很多标签。你可能需要的不止是它所能提供的。 – 2012-03-21 18:40:40
GWT致力于消除大部分产出。这里的关键是大多数注入攻击都希望将恶意的JS/HTML放入页面来攻击用户。 GWT非常擅长通过obj.setInnerText()而不是obj.setInnerHTML()和SafeHTML和SafeCSS接口来防止这种情况。 – 2012-03-22 03:48:31