防止java中restfulwebservices中的XSS的方法

Question

我已经搜索了很多，但没有找到一个很好的解决方案来阻止我的db在其中插入脚本。

我曾试图AntiSamy，但没有得到如何为它编写的政策文件，我还曾试图模式匹配，它是检测图的我有定义，但与

<a href="javscript:something"></a> 

我有面临的问题模式（“javascript：”）在定义的模式中，但与上面的字符串不匹配。因为这是我在XSS方面的经验，所以如何为给定的字符串编写模式并不是非常困难。什么是模式如果我想匹配，如果任何字符串包含“javascript：”在其中，正如我上面提到的。

并告诉我是否有任何易于使用的java库可用于反XSS与基本匹配。

Answer 1

我不知道你的要求，但不能使用httpOnly cookie。这将通过恶意JavaScript注入来阻止XSS，因为这些cookie不能被javascript访问。

Answer 2

XSS在REST中，我假设你正在渲染一些HTML，并且嵌入了一些用户提供的数据？否则，它不是XSS，但可能是一些JSON/XML注入？无论你想过滤用户提供的输入，你都可以使用Apache公共的StringEscapeUtils。

我建议你访问OWASP并阅读至少：XSS Cheat Sheet。