アプリケーションで XSS の問題を修正する必要があります。今、私は JSON と XSS を初めて使用します。攻撃には 2 つの方法があると思います。1 つ目は、HTML 入力コントロール (テキスト ボックス/エリアなど) を使用する方法と、URL に表示される要求パラメーター (GET) を使用する方法です。ここで何か不足している場合は提案してください。
AntiSamy (https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project) を使おうと思っています。HTMLコントロールの値を含むカスタムタグを作成することを考えています。
<input type="text" NAME="name" value="<mytag:xssclean><c:out value= escapeXml="false"/></mytag:xssclean>
このタグ クラスは実際にはアンチサミーを使用して HTML コンテンツをスキャンします。これらのパラメータをコントローラ クラスに送信し、最終的にデータベースに送信する前に、テキスト ボックス/領域に入力された悪意のある JavaScript コンテンツをエンコードしますか? それとも、コントローラ クラスからのコンテンツのみをエンコードして、jsp でレンダリングするのでしょうか?
これは正しいアプローチですか?java 側 (antisamy を使用した直接検証によるコントローラー クラス) と jsp (新しいタグを使用) で検証する必要があるのはいつですか?
さらに、HTML コントロールを備えたダイレクト フォーム フィールドを持たない jsp が多数ありますが、それらの構造は動的に作成され、jason 文字列が jsp に与えられます。jsp は単純に次のようになります。ここで、「値」には、html (html フィールドを含む) にレンダリングされる最終的な jason が含まれます。jason 文字列にアンチサミーを使用する XSS ソリューションを適用する必要がありますか、それとも jason データは XSS 攻撃からすでに安全であり、jason のテキストとして既に存在するようなものですか? json の場合、この問題はどこで解決すればよいですか?