ICEFaces 安全

Question

我的客户提出了两个安全问题，但我陷入了困境。

为了避免浏览器缓存敏感信息，客户端的安全准则要求 POST 请求不返回 200 响应。最初，我设置了一个 PhaseListener 来处理这个问题，但唯一收到的请求是 GET。我发现客户安全团队抱怨的 POST 请求是对 BlockingServlet 的 ajax 调用。我该如何为此设置类似的东西？我真的不明白icefaces如何处理存储在表单上的信息以及如何确保浏览器不存储此信息。我已经实现了无缓存标头，但这并不是完全可靠的安全性。

我使用的phaseListener基本上是 http://balusc.blogspot.com /2007/03/post-redirect-get-pattern.html

客户端还担心输入参数未经过正确验证，为 XSS 提供了入口点。他们给出的例子也是通过blockingServlet。我怀疑 ICEFaces 内置了一些东西来处理这个问题，但我找不到任何有关它的信息。有人可以帮忙吗？

Answer 1

XSS 是一个输出问题，你不能通过一些神奇的函数塞满所有的输入数据并期望你的应用程序 100% 安全，免受 XSS 攻击。这对任何应用程序都不起作用，因为 XSS 根本不会那样工作。确保测试您的应用程序是否存在 XSS 和 SQL 注入等漏洞，有免费的解决方案，例如 Sitewatch 和开放的解决方案来源skipfish。

为了防止缓存，请确保设置此 http 标头元素：

Cache-Control: no-store

不应使用其他方法。