playframework 1.x 是不是处理跨站点脚本 (xss)?
Posted
技术标签:
【中文标题】playframework 1.x 是不是处理跨站点脚本 (xss)?【英文标题】:Does playframework 1.x handle cross site scripting (xss)?playframework 1.x 是否处理跨站点脚本 (xss)? 【发布时间】:2012-07-25 19:20:45 【问题描述】:我正在使用版本 1.2.5 的 playframework,我只有一个简单的问题。
如果我使用例如:
public static User findByUsername(String username)
return User.find("username = ?", username).first();
那么,如果我执行这个调用,“JPAQuery find()”或 playframework 是否会阻止跨站点脚本和此类事情?
如果不是,我有什么办法可以轻松地在我的所有数据库交互中防止它发生?
非常感谢。
干杯,
马可
【问题讨论】:
【参考方案1】:跨站点脚本并不完全适用于您发布的代码,所以我想您的意思是 SQL 注入。在这种情况下,您发布的代码应该是安全的。 (错误的方法是通过使用+ 运算符连接字符串来构建查询。)
请看这里:http://www.playframework.org/documentation/1.2.5/security#sql
【讨论】:
【参考方案2】:从 1.0.1 版本开始,Play 的模板引擎会自动转义字符串。 此页面的更多详细信息:playframework owasp top 10
【讨论】:
除此之外不要忘记检查是否在 application.conf 文件中启用了“future.escapeInTemplates=true”。见这里playframework.org/documentation/1.1.1/security以上是关于playframework 1.x 是不是处理跨站点脚本 (xss)?的主要内容,如果未能解决你的问题,请参考以下文章
Playframework 1.x 带有协商标头的未经授权的响应
是否建议启动 Playframework 1.x 应用程序?
带有经典查询分隔符的 PlayFramework 1.x 路由