ESAPI XSS-Schutz für die vom Benutzer angegebene URL-Eigenschaft

Eine meiner REST-APIs erwartet eine Eigenschaft "url", die eine URL als Eingabe vom Benutzer erwartet. Ich benutze ESAPI, um XSS-Angriffe zu verhindern. Das Problem ist, dass die vom Benutzer angegebene URL ungefähr so ...

XSS-Filter zum Entfernen aller Skripte

Ich implementiere einen XSS-Filter für meine Webanwendung und verwende auch den ESAPI-Encoder, um die Eingabe zu bereinigen. Die von mir verwendeten Muster sind wie folgt: // Script fragments ...

encodeForHtml () vs htmlEditFormat ()

Korrekter Speicherort für ESAPI.properties unter Webprojekt

Ich habe meinem Projekt eine OWASP ESAPI-Bibliothek hinzugefügt. Derzeit habe ich ein Problem, wo ich @ finden kanESAPI.properties Datei. Dieses Projekt sollte später auf wenigen Servern bereitgestellt werden, auf die ich keinen Zugriff habe. ...

ESAPI für XSS-Prävention funktioniert nicht

Ich arbeite an der Behebung von Cross Site Scripting-Problemen in unserem Code, hauptsächlich in JSPS. Below ist der Originalcode //scriplet code <% String userId = request.getParameter("sid"); ...%> und in der gleichen Jsp haben sie <input ...