1

もちろん、スクリプト コードがクライアント側で実行されることはわかっています。しかし、XSSに関して最大​​限のセキュリティを提供するためには、サービス側でどのような対策を導入する必要がありますか? 出力エンコーディングは合理的ですか、それとも他に適用すべき対策はありますか?

[編集]

コンテンツを HTML エンコードして送り返すと、XSD スキーマと Bean 検証が同じ正規表現を使用しているため、既存のすべての XML スキーマ ファイルと Bean 検証が機能しなくなります。

<xs:simpleType name="addressNumber">
    <xs:restriction base="xs:string">
        <xs:pattern value="[0-9]{1}[0-9a-z/\\ -]{0,7}" />
    </xs:restriction>
</xs:simpleType>
4

1 に答える 1

1

最後に、ここで IT - セキュリティについての答えを得ました。最も重要なことは次のとおりです。

  • < や > などの文字をエンコードする標準の XML パーサー ライブラリを使用する
  • content-typeヘッダーがに設定されていることを確認しますapplication/xml
  • 追加X-Content-Type-Optionsのヘッダーを追加し、値を次のように設定しますnosniff
  • サービス側の入力検証を実行します (ホワイト リストは最も信頼できるアプローチです)
于 2013-09-10T15:00:44.860 に答える