安全缺陷：如何避免它们？

Question

我是有点咸菜：

我有很多我在Java中的豆正在设置的值，然后我得到他们的JavaScript和JSP使用scriplets这样的：

在我的Bean.java：

public void setListValue(String s) { listValue = s; } 
public String getListValue()  { return listValue;  } 

现在在我的JSP（JavaScript函数里）：

input = $input({type:'hidden',id:'ListVal',name:'ListVal', 
value: '<%= results.getListValue() %>'}); 

有时我正在使用scriplet代码来检索jsp中的参数。

一般来说，如果一个参数是从Java文件传递到Java文件或JSP文件中的JSP文件，然后我使用本地Java编码器和解码器是这样的：

 EncodedHere = URLEncoder.encode(encodedStr,"UTF-8"); 
    DecodedHere = URLDecoder.decode(EncodedHere,"UTF-8"); 

这完美的作品对这些方案，但如果我已经在java中设置了我的变量，然后尝试按照上述方式在javascript或jsp中检索它们，但它失败了。我已经尝试了JSTL的方式，但无法使其工作，似乎JSTL不适合在javascript中获取值。现在这个脚本已被许多人标记为安全问题。由于它是一个庞大的代码库，所以很难改变它。

是否有人有任何想法，以避免这种安全漏洞莫名其妙。换句话说，有没有一种方法可以在java中对变量进行编码，然后在jsp和javascript中获取编码后的字符串，然后解码它？

Answer 1

听起来您的安全人员担心XSS（跨站点脚本）攻击，这意味着用户输入的数据在页面上重新显示时可能含有恶意代码。如果是这种情况，您实际上不希望对数据进行URL编码，则需要XML将其转义，即将潜在危险字符（如<）替换为其相应字符实体（如<）。要在JSP中执行此操作，您可以使用<c:out>标记或fn:escapeXML EL函数。这在JavaScript代码中工作得很好，即使它有点难看。在你的情况下，它会是这个样子：

首先逃脱的JavaScript您使用转义库ESAPI参考实现把它的请求之前：

String jsEscapedValue = ESAPI.encoder().encodeForJavaScript(results.getListValue()); 
request.setAttribute("listValue", jsEscapedValue); 

然后在页面上使用<c:out>标签HTML/XML逃避它：

var myJsValue = '<c:out value="${listValue}"/>'; 

确保的jstl.jar是在类路径上，并一定要在你的页面的顶部正确的标记库。

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>