Estou executando um aplicativo da Web baseado em Java Spring MVC. Também é baseado na plataforma Hybris.

Agora, a funcionalidade básica em termos de autenticação e autorização já está implementada. Ou seja, temos filtros para sessões, um sistema de usuário funcional etc.

No entanto, atualmente não temos medidas de segurança contra coisas como XSS e outros tipos de possíveis ataques existentes. O XSS é provavelmente a maior preocupação, pois é a maneira mais comum possível de atacar.

Agora, eu me pergunto ... que medidas seriam inteligentes a serem tomadas? Dei uma olhada e vi coisas como o XSS-Filter existir. Implementá-lo seria muito fácil, basta copiar além da fonte e adicioná-lo como um arquivo no tomcats web.xml.

Mas eu me pergunto se isso é uma quantidade satisfatória de segurança desse filtro.

Também existem soluções muito mais inchadas, por exemplo, eu poderia usar a segurança de mola. No entanto, ao ler as documentações, sinto que isso está muito inchado e uma grande parte implementa o que já está implementado (os dois A's, por exemplo). Eu sinto que seria preciso muito trabalho para configurá-lo para a quantidade de trabalho que eu preciso que ele faça.Estou errado?

E:

Como você diria que é recomendável lidar com problemas de segurança, por exemplo, XSS? Você usa uma certa estrutura predefinida que atenda às necessidades ou é sua segurança "feita à mão", seguindo itens como ofolha de dicas?