【发布时间】:2013-07-06 02:24:30
【问题描述】:
在 JAX-RS BookShop 中,我想过滤客户对 xss 内容的评论。对于 JSF 应用程序,我通过在 web.xml 中应用一个过滤器来检查 xss 内容的附加参数的值。由于 JAX-RS webservices 接收序列化的对象而不是参数值,因此在 recension bean 本身中验证内容会容易得多。 因此,我认为没有理由在 JAX-RS 服务中应用 xxs 过滤器。 我说的对吗?
【问题讨论】:
-
为什么要过滤输入而不是输出的 XSS? XSS 内容在 Java 服务器(和 SQL 数据库)中是完全无害的。它只对 HTML 客户端有害。
-
过滤响应比对请求进行过滤要复杂得多。这就是为什么我更喜欢请求过滤器。我知道 JSF 具有防止 xss 攻击的内置功能。但是将来我不能确保将 JSF 应用程序用作 jax-rs 客户端软件。因此,我遵循了数据库中无xss攻击数据的思路。因此,不需要进一步的 xss 攻击防护。但是,我想知道在 JAX-RS Web 服务中哪种 xss 过滤方法更方便。使用
javax.servlet.Filter或在数据实体本身中。
标签: security jsf filter xss jax-rs