本文介绍了在某重要时期,一个Web应用进行安全加固的需求,其中焦点落在前端方向的输出过滤问题。文章推荐并探讨了OWASP的Enterprise Security API (ESAPI) JavaEE版本,强调了使用成熟组件如ESAPI的重要性,以替代网络上常见的个人编写的安全过滤代码。通过官方文档和简单的代码示例,展示了如何利用ESAPI的EncodeForXXX功能进行安全的输出编码。
事先声明:只是浅谈,我也之用了这个组件的一点点。
又到某重要XX时期(但愿此文给面临此需求的同仁有所帮助),某Web应用第一次面临安全加固要求,AppScan的安全测试报告还是很清爽的,内容全面,提示建议到位,而且是中午哦,当然有的中文明显狗屁不通。
之前此应用的后端架构相对比较稳固,所以出的重要问题主要出在靠近前端方向的问题,一些类似输出过滤这样的动作做的不到位,需要引入比较成熟的代码专门干这些活,翻了一下吴瀚清的同学《白帽子谈Web安全》推荐了OWASP的ESAPI,这个东西全面叫Enterprise Security API,官网地址:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 到其主页上看看,好像提供了不少语言的分支版本,我就下了个JavaEE的版本,这个玩意功能很强大,直接来官方文档的特性列表吧:
The features in this release of ESAPI for Java EE include:
ESAPI Core components
ESAPI locator and interface classes.
ESAPI security control reference implementations for the following security controls:
Authentication
Ide
最低0.47元/天 解锁文章
扫一扫
1882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
