如何防止XSS攻击tomcat5.5

Question

我正在使用tomcat 5.5.36。我用JSP构建了一个应用程序。我使用了"toolOwasp Zap安全工具“来扫描我的应用程序。在报告中，我发现了一个与XSS相关的问题。我正在使用一个表单来登录用户，并将其与帖子发送。

在报告中，它说跨站点脚本(反映)

参数-用户名攻击- </span><script>alert(1);</script><span>证据- </span><script>alert(1);</script><span>

我正在使用会话id对用户进行身份验证。我读过一些关于XSS攻击的文档，但找不到一个合适的解决方案，它可以与给定的tomcat版本一起工作。(注:是否有使用CSRF令牌的解决方案。)

Answer 1

首先，表扬是必要的！

您已经向保护您的应用程序和成为一名优秀的开发人员迈出了最大的一步-您实际上考虑了安全性。说真的，这让我对开发人员的未来感到更好，因为行业中很少有人能做到这一点。干得好:-)

现在是有趣的部分:保护您的应用程序免受跨站点脚本攻击，或者任何其他类型的漏洞，不是简单地通过在Tomcat中安装或启用某些东西就能实现的。事实上，您使用Tomcat的事实应该与任何应用程序级漏洞无关。此外，跨站点请求伪造是一个独立的、无关的漏洞。对不起:-(

看一下你的具体例子--基本上你的问题是，你的应用程序接受用户输入到登录表单中的任何输入，并将其打印到页面中，而不对其进行清理。在报告中，它会告诉您，它试图使用用户名</span><script>alert(1);</script><span>登录，但发现响应中打印出了脚本和警报。

你可以自己尝试一下，你会看到问题--你会得到一个警告弹出窗口。

不幸的是，没有简单的切换到flip来保护你的应用程序。您必须了解和理解您的所有常见漏洞类型，然后学习应对每种漏洞的标准方法和工具。

一个很好的起点是OWASP Top 10 wiki，在那里你可以找到很多关于各种漏洞的信息，它们是什么，它们是如何工作的，以及你应该做些什么来保护它们。

https://www.owasp.org/index.php/Top_10_2013-Top_10

您甚至可以找到代码示例和工作示例来提供帮助。

我感觉有点像在这里领着一只小羊去屠宰-我知道通读所有这些内容会让人望而生畏，但请慢慢来，不要惊慌。一旦您了解了每种漏洞类型，您就会发现大多数漏洞都很容易预防。

希望这能帮上忙，查莉