Добавление дополнительной безопасности на веб-сайт
Я использую веб-приложение на основе Java Spring MVC. Он также основан на платформе Hybris.
Теперь базовая функциональность с точки зрения аутентификации и авторизации уже реализована. Это означает, что у нас есть фильтры для сессий, работающая пользовательская система и т. Д.
Однако в настоящее время у нас нет мер безопасности против таких вещей, как XSS и других возможных атак. XSS, вероятно, самая большая проблема, так как это наиболее распространенный из возможных способов атаки.
Интересно ... какие шаги было бы разумно предпринять? Я осмотрелся и увидел, что такие вещи, как XSS-фильтр, существуют. Реализовать такое было бы довольно просто, просто скопируйте за исходный код и добавьте его как tomcats web.xml.
Но мне интересно, является ли это достаточным количеством защиты от такого фильтра?
Есть также более раздутые решения, например, я мог бы использовать Spring-Security. Тем не менее, читая документацию, я чувствую, что это очень раздутый, и большая часть его реализует то, что уже реализовано (например, два A). Я чувствую, что потребовалось бы много работы, чтобы настроить его на тот объем работы, который мне нужен для этого.Я ошибся?
А также:
Как бы вы сказали, рекомендуется ли решать проблемы безопасности, например, XSS? Используете ли вы определенную предопределенную среду, которая соответствует потребностям, или ваша безопасность «сделана вручную», следуя таким вещам, какшпаргалка?