angularJS弹簧项目中XML注入的预防
问题描述:
我设计了一个基于web的项目,使用spring和hibernate & angularJs。在我完全没有意识到的安全测试中,我发现XML注入漏洞尤其是GET请求。angularJS弹簧项目中XML注入的预防
有一些这个问题的实例:
/MyProject/auditlog/getrecords [currentPage JSON parameter]
/MyProject/auditlog/getrecords [fromDate JSON parameter]
/MyProject/auditlog/getrecords [isApp JSON parameter]
所以,我觉得认为它可以在前端侧角可以解决?
我该如何解决这个安全漏洞。请帮忙。
答
我想你可能会在这里混淆几个问题。有XML注入(将发生在您的服务器代码中)和AngularJS注入(模板注入),如果您要将数据写入AngularJS模板服务器端,将会发生这种情况,您绝对不应该这样做。
如果您使用的是JSON,我不确定在哪里使用XML注入,除非您使用JSON值服务器端构建某种类型的XML文档。
如果是向AngularJS注入某种类型的Cross Site Scripting(XSS),那么您可能不适当地使用了AngularJS。
有关发现的问题的更多信息,我可以更具体。你能提供更多信息吗?