改札フレームワークを使用する J2EE プロジェクトがあります。ウィケットでの JavaScript インジェクションを防ぐ方法を知りたいですか?
1245 次
2 に答える
6
あなたが質問を作成した方法がそれに値するとは思いませんでしたが(詳細、背景、問題の説明の例、注射に対する感受性の暗示など)、Excellent Wicket in Actionからいくつかの詳細を掘り下げました:
Wicket はデフォルトで安全です
にきびだらけの 14 歳の子供が Web アプリケーションをハッキングしようとすることを心配する必要はありません。そのためには、セッションをハイジャックし、適切なページ識別子とバージョン番号を推測する必要があります。これは、セッションと関連するコンポーネント パスに関連しています。それをやってのけるには、しつこいハッカーになる必要があります。たとえば、CryptedUrlWebRequestCodingStrategy を使用してリクエストを暗号化することにより、Wicket アプリケーションをデフォルトよりもさらに安全にすることができます。
于 2009-08-02T00:34:07.270 に答える
0
すべてのWicketコンポーネントは、デフォルトで(Labels、TextFieldsなどによって)文字列をエスケープします。これにより、JavaScriptインジェクションに関連する最も一般的な問題が回避されます。
component.setEscapeModelStrings(false)ただし、何らかの理由でこの動作()を無効にする場合、またはカスタムレンダリングされたコンポーネントを作成する場合(マークアップを出力に直接書き込む場合)は、適切な注意を払う必要があります。
于 2010-06-09T09:06:27.597 に答える