Jboss / Apache级别的HTML编码，用于处理XSS跨站点脚本

Question

我们的网站最近被XSS跨站脚本攻击-类型1，我浏览了几个网站，他们建议我们进行HTML编码/转义/并扫描URL(使用过滤器)。

我们已经修复了URL跨站点脚本，方法是使用过滤器扫描URL，并在进入控制器(Servlet)之前清除URL。

至于信息，我们已经尝试了apache提供的名为"Mod_j安全“的方法，但我担心的是

如何结束HTML输出?？在JBOSS或Apache中有没有在显示之前进行HTML编码的配置设置？

请在这方面给我建议，因为这是至关重要的，需要尽快解决。

Answer 1

XSS防御需要在输出过程中意识到内容。请参阅OWASP XSS预防小抄。您必须在您的应用程序中执行此操作。在过滤器或apache中做这件事会很好，但这是不可能的。上面提到的ThiefMaster只能看到完整的输出。在这一点上几乎不可能找到攻击，因为有如此大量的可能攻击。