我一直在读关于反射XSS预防的文章。据我所知,输出编码是处理反射XSS的主要方法。一些可用的工具是OWASP Java编码器项目和OWASP ESAPI。我有一个java/JSP应用程序。当相应的.jsp文件中已经有输入验证时,我不确定是否也应该对.java文件执行输入验证。因此,我有以下问题:
如果是2,创建我自己的输入验证函数还是使用ESAPI Valida
我们对其进行了应用评估扫描,显示了XSS漏洞。我能够减少大量的表单输入,方法是使用jsoup白名单对其进行消毒。纵观报告,我有几个领域可以将数值注入到一个长类型参数中。对原始请求应用了以下更改:将'622";alert(240)'注入参数'name_id'的值
推理:测试结果似乎表明了一个漏洞,因为应用程序成功地在响应中嵌入了一个脚本,当页面在用户浏览器中加载时,脚本将被执行Request/Response: GET /applicationName/name.jsp</