1

veracode で提案されているように、Esapi を使用してデータを正規化する方法。

out.print(ESAPI.encoder().encodeForHTML(jsonObj.toJSONString()));

コンソールに表示されるデータは

{"total":1,"records":5,"rows":[{"id":"RLCP.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"534.7","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"2882","action":"<button class='button-style-s button-alt2' onclick='Buy()&#x3b;'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell()&#x3b;'>Sell<\/button>","rowtoken":"NSE2882","ts":"RLCP.NS","clow":"437.5"}},{"id":"SBI.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"339.8","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"3045","action":"<button class='button-style-s button-alt2' onclick='Buy()&#x3b;'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell()&#x3b;'>Sell<\/button>","rowtoken":"NSE3045","ts":"SBI.NS","clow":"278.1"}},{"id":"YESB.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"948.65","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"11915","action":"<button class='button-style-s button-alt2' onclick='Buy()&#x3b;'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell()&#x3b;'>Sell<\/button>","rowtoken":"NSE11915","ts":"YESB.NS","clow":"776.25"}},{"id":"BOB.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"212.45","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"4668","action":"<button class='button-style-s button-alt2' onclick='Buy()&#x3b;'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell()&#x3b;'>Sell<\/button>","rowtoken":"NSE4668","ts":"BOB.NS","clow":"173.85"}},{"id":"SBNK.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"128.85","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"7179","action":"<button class='button-style-s button-alt2' onclick='Buy()&#x3b;'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell()&#x3b;'>Sell<\/button>","rowtoken":"NSE7179","ts":"SBNK.NS","clow":"105.45"}}]}

しかし、それはhtmlで次のようにレンダリングされます

{"total":1,"records":5,"rows":[{"id":"RLCP.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"534.7","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"2882","action":"<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>","rowtoken":"NSE2882","ts":"RLCP.NS","clow":"437.5"}},{"id":"SBI.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"339.8","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"3045","action":"<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>","rowtoken":"NSE3045","ts":"SBI.NS","clow":"278.1"}},{"id":"YESB.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"948.65","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"11915","action":"<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>","rowtoken":"NSE11915","ts":"YESB.NS","clow":"776.25"}},{"id":"BOB.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"212.45","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"4668","action":"<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>","rowtoken":"NSE4668","ts":"BOB.NS","clow":"173.85"}},{"id":"SBNK.NS","cell":{"ser":"EQ","bdlt":1,"e":"NSE","chigh":"128.85","tick":"0.05","m":1,"prec":2,"W\/L":null,"exch":"nse_cm","tk":"7179","action":"<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>","rowtoken":"NSE7179","ts":"SBNK.NS","clow":"105.45"}}]}

示されているように、私の JavaScript はデータの理解に失敗し、失敗します。この問題を解決するにはどうすればよいですか。

4

2 に答える 2

1

データの使用目的に応じて、データを変換する必要があります。この場合、javascript コンテキスト用のデータがあるため、ここESAPI.encode().escapeForJavaScript()でインターフェイスへのリンクを使用する必要があります

そのデータをページに直接レンダリングするために送信する場合は、ESAPI.encode().encodeForHTML().

ただし、現状では、 JSON オブジェクト全体をエンコードしようとしているため、javascript エスケープを使用してもおそらく機能しません。これが適切に機能するためには、代わりに個々のデータ要素が javascript コンテキスト用にエスケープされていることを確認する必要があります。

たとえば、この JSON にマーシャリングされるコードは次のとおりです。

       {
        "id": "SBNK.NS",
        "cell": {
            "ser": "EQ",
            "bdlt": 1,
            "e": "NSE",
            "chigh": "128.85",
            "tick": "0.05",
            "m": 1,
            "prec": 2,
            "W\/L": null,
            "exch": "nse_cm",
            "tk": "7179",
            "action": "<button class='button-style-s button-alt2' onclick='Buy();'>Buy<\/button><button class='button-style-s button-alt1' onclick='Sell();'>Sell<\/button>",
            "rowtoken": "NSE7179",
            "ts": "SBNK.NS",
            "clow": "105.45"
        }

サーバー上の Java コードを想定すると、次のようにする必要があります。

public void someControllerMethod(httpReq, httpResp){

     DataObject myData = somthingFromADao.getBean();
     ViewBean vBean = new vBean();

     vBean.setId(encoder.escapeForJavaScript(myData.id));
     Cell myCell = myData.getCell();
     Cell vCell = new vCell();
     vCell.setSer(encode.escapeForJavaScript(myCell.getSer()));
     // ...^^^can be done as a "populate" method or some similar pattern.
     //Marshall as JSON
}

データセットで頭痛の種となる可能性があるのは、「アクション」フィールドだけのようです。明らかに、HTML を挿入してレンダリングしようとしています。Veracode はフラグを立てませんが、XSS のベクトルも監視していることを確認する必要があります。動的に生成されたコードをデータ要素として渡す必要がないように、再構築する必要があります。最近のほとんどの XSS は DOM ベースであるため、可能な限りブラウザで HTML を記述したくありません。

于 2015-02-02T14:24:13.897 に答える
0

ESAPI.encode().escapeForJavaScript() を使用しました 次の結果が得られました

\x7B\x22mw0\x22\x3A\x22Default\x22\x7D

次に、次のコードを使用した Java スクリプトが理解できる形式に変更します。

data="\x7B\x22mw0\x22\x3A\x22Default\x22\x7D"
decodeURIComponent(data.replace(/\\x/g, '%'));

リターンは

"{"mw0":"Default"}"
于 2015-02-03T12:20:55.563 に答える