¿Es el Proyecto OWASP Java Encoder suficiente para prevenir XSS reflejado?
He estado leyendo artículos sobre prevención de XSS reflejado. Por lo que entiendo, la codificación de salida es la principal forma de tratar con XSS reflejado. Algunas herramientas disponibles serían el proyecto OWASP Java Encoder y OWASP ESAPI. Tengo una aplicación web java/JSP. No estoy seguro si la validación de entrada también debe realizarse en el archivo .jsp cuando ya hay una validación de entrada en el archivo .java correspondiente. Así que tengo las siguientes preguntas:
1. ¿Es suficiente el proyecto OWASP Java Encoder para prevenir XSS reflejados?
2. ¿Necesito hacer una validación de entrada en el archivo .jsp?
3. Si la respuesta a la pregunta 2 es afirmativa, ¿sería mejor crear mis propias funciones de validación de entrada o utilizar la clase ESAPI Validator?
4. Si tengo que usar ESAPI, significa que necesito agregar ESAPI.properties y validation.properties. Dado que mi proyecto es un proyecto Ant, ¿dónde agrego estos archivos?
Gracias de antemano.
davy.ai
Respuestas