问题描述
在一个 web 项目中,我们使用 ESAPI 验证器来检测使用 antisamy XML 文件的 XSS 攻击。虽然大多数攻击都按预期检测到,但它未能将以下给定的输入检测为 XSS 攻击。
令人惊讶的是,ESAPI 将以下给定的输入检测为 XSS 攻击:
后端是用 Java 编写的,UI 是用 JavaScript 编写的。 使用的反同文件:
https://github.com/OWASP/EJSF/blob/master/esapi_master_FULL/antisamy-esapi.xml
我也尝试过使用 myspace antisamy 文件,但问题仍然存在。
有人可以帮助我了解行为差异的原因或如何缓解问题吗?
谢谢。
解决方法
这也有助于我们了解您正在测试的 ESAPI 版本,因为不同版本使用不同版本的 AntiSamy。 (事实上,很快就会有一个新的 1.6.0 版本出来,之后我们预计会发布一个新的 ESAPI 点版本。) 但是了解 ESAPI 版本(或更具体地说,AntiSamy 版本)将使我们能够确保这不是 AntiSamy 中的错误。