ICEFaces安全性

Question

我有两个安全问题，我的客户提出了，我被卡住了。

我该如何为它设置类似的东西呢？我真的不明白icefaces如何处理存储在表单上的信息，以及如何确保这些信息不会被浏览器存储。我已经实现了无缓存头，但这并不是很可靠的安全性。

我使用的phaseListener基本上是http://balusc.blogspot.com/2007/03/post-redirect-get-pattern.html

客户机还担心输入参数没有正确验证，从而为XSS提供了一个入口点。他们给出的例子也是通过blockingServlet。我怀疑ICEFaces有一些内置的东西来处理这个问题，但我找不到任何关于它的信息。有人能帮上忙吗？

Answer 1

XSS is an output problem，你不能通过一些神奇的函数把所有的输入数据都塞进去，并期望你的应用程序对XSS100%安全。这对任何应用程序都不起作用，因为XSS不能以这种方式工作。请确保您测试您的应用程序的漏洞，如XSS和SQL注入，有免费的解决方案，如Sitewatch和开源skipfish。

要防止缓存，请确保设置了此http头元素：

Cache-Control: no-store

不应该使用其他方法。