Dobry den prajem, chcel by som sa spytat na vase skusenosti so zabezpecenim stredne velkej webovej aplikacie voci cross-site scripting utokom [3]. Na generovanie weboveho vystupu pouzivame JSP + JSTL. V aplikacii je niekolko stoviek JSP stranok.
Idealne riesenie by bola nejaka "context-sensitive automatic sanitization" (CSAS) technika fungujuca nad existujucimi JSP strankami. Na zaciatok by postacovalo kontextove escapovanie EL vyrazov v JSP strankach, skriptlety si nechame na neskor :-). Predstavujem si to tak, ze JSP stranka by "sledovala" doterajsi vystup a browser-context v ktorom sa ten ktory EL vyraz vyskytuje, a podla toho by sa vyescapoval. Ale nic podobne som este nenasiel, neviem ci sa to vobec da urobit. Nasiel som dve Javovske templajtovacie kniznice, ktore maju automaticke kontextove escapovanie: JXT [1] a Google Closure Templates [2], myslim, ze i Velocity ma nejaku podporu. Prepisat mnozstvo JSP stranok vsak asi nebude cesta. Akym sposobom ste pri zabezpecovani "legacy" webovej aplikacie voci XSS postupovali vy? S pozdravom, -Peter Stibrany [1] https://www.owasp.org/index.php/OWASP_Java_XML_Templates_Project, https://code.google.com/p/owasp-jxt/ [2] https://developers.google.com/closure/templates/docs/security [3] https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
