检票口中的 JavaScript 注入

Question

我有一个使用 wicket 框架的 J2EE 项目。 我想知道如何防止 wicket 中的 javascript 注入？

Answer 1

尽管我认为您提出问题的方式不值得（没有细节，没有背景，没有示例问题陈述，暗示对注入的敏感性等），但我从优秀的 Wicket 运行：

Wicket 默认情况下是安全的

你永远不需要担心
满脸痘痘的14岁青少年试图
破解您的网络应用程序。 为此，
他们将不得不劫持会话
然后猜测正确的页面
标识符和版本号，其中
与会话相关并且
相关组件路径。 你
必须是一个坚持不懈的黑客才能拉动
那个关闭。 你可以让你的检票口
应用程序更加安全
默认通过加密请求，
例如，
CryptedUrlWebRequestCodingStrategy。

Answer 2

默认情况下，所有 Wicket 组件都会转义字符串（通过标签、文本字段等），这避免了与 javascript 注入相关的最常见问题。

不过，如果您出于某种原因禁用此行为 (component.setEscapeModelStrings(false))，或者创建自定义呈现的组件（如果您将标记直接写入输出），则应采取适当的措施。