REST通話のXSS防止 -- java フィールド と xss フィールド と resteasy フィールド 関連 問題

XSS prevention for REST calls












0
vote

問題

日本語

私たちは私たちのアプリケーションへのXSS攻撃に関する問題に直面しています。 GETリクエストに通常のフィルタを使用することでこれを防ぎます。

私たちはreseasy rest WebService呼び出しをアプリケーションに使用しています。フィルタの内部でデータをフィルタリングしない場合は、get / post / delete / putリクエスト。

基本的な要件は、すべてのフィールド、ヘッダー、クッキーでもXSS攻撃をチェックする必要があります。

メソッドを呼び出す前に、投稿された値を取得する方法を教えてください。通常のリクエストのために何をしたのか同じように。 私たちのアプリはResteAsy2.0バージョンを使用しています。

RESTメソッドを呼び出す前にリクエストラッパーを更新するにはどういうわけか。 これについての提案を教えてください。事前にありがとうございます。

ありがとう、 govind

英語

We are facing problems with XSS attacks to our application. We are preventing this by using normal filters for GET requests.

We are using RESTEasy REST webservice calls to our application. Our filter not filtering the data inside form GET/POST/DELETE/PUT requests.

The basic requirment is we need to check the XSS attacks on all the fields,headers and cookies as well.

How do we get the posted values before invoking the method. Just like filters what we did for normal requests. I am using resteasy2.0 version for our app.

Is there anyway to update the request wrapper before going to invoke rest method. Please give us some suggestions on this. Thanks in advance.

Thanks, Govind.

</div
        

回答リスト

3
 
vote

ReSteasy 2.0では、JAX-RS呼び出しでインターセプターを使用してリスナーのようなオブジェクトを通してそれらを配線することができます。

JAX-RSリソースメソッドが呼び出される前に、リクエスト本文やヘッダーを確認するためのインターセプターを宣言できます。

ここではドキュメントを見てください。復元インターセプターのドキュメント

どのように使うのかについての例: resteasy interceptors例

 

Resteasy 2.0 allows you to use Interceptors on JAX-RS invocations and route them through listener-like objects.

You can declare an interceptor to check your request body and/or header before a JAX-RS resource method is invoked.

You can give a look to the docs here : Resteasy Interceptors Documentation

An example on how use it : Resteasy Interceptors Example

</div
 
 
       
       
1
 
vote

REST関数を打つ前に各要求を処理できるように、サーブレットのようなフィルタを正しく理解している場合は、各要求を処理できるようにします。それはまたあなたの実装をすべての休息すべてに共通化させ続けます。私が間違っているなら私を訂正してください。

ResteAsy2.0では働いていませんでしたが、私の心の中に入ってくる一つのシンプルな解決策があります。 共通の関数を書くことができ、その関数をRESTメソッドの最初の行から呼び出すことができます。その機能でスクリプト要素を確認し、見つかった場合はエラーが発生した場合、または他の何かをしてください。

 

If I have understood it properly you want a filter like in Servlet so that you can handle each request before it hit the REST function. It will also keep your implementation common for all REST alls. Correct me if I am wrong.

One simple solution coming in my mind though I never worked with resteasy2.0. You can write a common function and call that function from your REST methods first line. Check for scripting elements in that function and if found throw error or do something else.

</div
 
 

関連する質問

0  控えめにセキュリティを短縮します  ( Swagger securitydefinition with resteasy ) 
iアプリケーションサブクラスとBeanconfigオブジェクトをSwaggerを設定しました.My SecurityDefinitionでは、My SecurityDefinitionをSwagger UIがDE API_KEYフィールドを表示してすべてのM...

1  resteasy - ClientRequestに基本認証を設定する方法  ( Resteasy how to set basic authentication to clientrequest ) 
私はreseasy(JAX-RSの実装)を使用しています。 Basic、Preemptive、ClientRequestへの認証を設定する方法がわかりません。 <事前> <コード> ClientRequest request = new ClientReque...

0  resteasyデータベース接続:NullPointer  ( Resteasy database connection nullpointer ) 
私は、JBossで実行されている復元サービスを7として、ローカルデータベース(MySQL Server)との接続を作成しようとしています。 データソースはJBoss Managementで正しく定義されており、罰金を接続します(JSFアプリはそれを罰金を接続...

5  Tomcat 7.0.30はResieasy 2.3.4では動作しません  ( Tomcat 7 0 30 does not work with resteasy 2 3 4 ) 
私はresteasy 2.3.4 finalを備えた小さなWebアプリケーションを作成しました、そして私はTomcat 7.0.30に展開しました。 Tomcatが起動すると、次のエラーメッセージが表示されます。 <事前> <コード> ... INFO: JS...

1  java.lang.noclassDeffounderror:org / hibernate / service / serviceRegistry on Hibernate 4  ( Caused by java lang noclassdeffounderror org hibernate service serviceregistry ) 
Hibernate 4.3をCDIで使っていて、Wildfly 8.1でresteasy Hibernateでセッションを作成したい場合は、次のエラーを返します。 <事前> <コード> 06:25:40,296 ERROR [io.undertow....

0  REST Interface JAX-RS  ( Rest interface jax rs ) 
アドバイスが必要です。 JAX-RSのみを使用してそのコードをオーバーライドすることは可能ですか? <事前> <コード> Users -> UserID8 多くの方法を見つけましたが、すべて追加のライブラリが含まれており、Wildfly 16をサポートするラ...

0  Mockitoを使用してPOSTリクエストをモッキングするjavax.ws.rs.processingException:RESTEASY004655:リクエストを呼び出すことができません  ( Mocking a post request using mockito raises javax ws rs processingexception res ) 
私はMockitoにとって完全に新しい、私はクライアントのみをテストできるように投稿要求を偽造する必要があります。ただし、 RESTEASY004655: Unable to invoke request 例外を取得します。これは私が今のところ私が持っているも...

2  Resteasy + Spring + Jackson + JAXB  ( Resteasy spring jackson jaxb ) 
resteasyを使用してJAXB注釈付きクラスをジャクソンでシリアル化しようとしています。デフォルトでは、ResteAsyJacksonProviderは、Jacksonアノテーションのみを使用するように構成されています。 Springを使用してJAXBア...

2  Google App Engineで復活させる  ( Resteasy with google app engine ) 
JBoss ResteAsyを使用するWork REST Webサービスを使用するただし、GAEを使用しようとしたときに実行しようとしました。 <事前> <コード> java.lang.ClassNotFoundException: org.jboss.re...

1  resteasy Bean検証が呼び出されない  ( Resteasy bean validation not being invoked again ) 
私の質問は呼び出されていないBean検証が呼び出されていません。しかし、問題はありませんが、 私はreseasy-validator-provider-11をreseasy 3.0.9.finalを使って、私のPOMのresieasy-validator-pr...




© 2022 cndgn.com All Rights Reserved. Q&Aハウス 全著作権所有