Я использую веб-приложение на основе Java Spring MVC. Он также основан на платформе Hybris.

Теперь базовая функциональность с точки зрения аутентификации и авторизации уже реализована. Это означает, что у нас есть фильтры для сессий, работающая пользовательская система и т. Д.

Однако в настоящее время у нас нет мер безопасности против таких вещей, как XSS и других возможных атак. XSS, вероятно, самая большая проблема, так как это наиболее распространенный из возможных способов атаки.

Интересно ... какие шаги было бы разумно предпринять? Я осмотрелся и увидел, что такие вещи, как XSS-фильтр, существуют. Реализовать такое было бы довольно просто, просто скопируйте за исходный код и добавьте его как tomcats web.xml.

Но мне интересно, является ли это достаточным количеством защиты от такого фильтра?

Есть также более раздутые решения, например, я мог бы использовать Spring-Security. Тем не менее, читая документацию, я чувствую, что это очень раздутый, и большая часть его реализует то, что уже реализовано (например, два A). Я чувствую, что потребовалось бы много работы, чтобы настроить его на тот объем работы, который мне нужен для этого.Я ошибся?

А также:

Как бы вы сказали, рекомендуется ли решать проблемы безопасности, например, XSS? Используете ли вы определенную предопределенную среду, которая соответствует потребностям, или ваша безопасность «сделана вручную», следуя таким вещам, какшпаргалка?