728x90
반응형
Reflected cross-site scripting (XSS) 공격
Noncompliant Code Example
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
String name = req.getParameter("name");
PrintWriter out = resp.getWriter();
out.write("Hello " + name); // Noncompliant
}
Compliant Solution
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException {
String name = req.getParameter("name");
String encodedName = org.owasp.encoder.Encode.forHtml(name);
PrintWriter out = resp.getWriter();
out.write("Hello " + encodedName);
}
728x90
반응형
'Secure Coding' 카테고리의 다른 글
| XPath 인젝션 공격 (0) | 2021.09.17 |
|---|---|
| 데이터베이스에 연결 시 암호 보안 (0) | 2021.09.17 |
| 데이터베이스 쿼리 인젝션 공격 (0) | 2021.09.17 |
| 역직렬화 인젝셕 (0) | 2021.09.17 |
| [java] Dynamic code execution should not be vulnerable to injection attacks (0) | 2021.09.17 |
댓글