带你读《Apache Tomcat的云原生演进》——Secure By Default Web Applications Apache Sling-Robert Munteanu(7)https://developer.aliyun.com/article/1377431
这是给用户权限的另一种选择,或者任何你喜欢的,就像我们添加评论一样,你可以在上面这个例子中看到。相反,我们只允许使用代码执行此功能,这是 Java
实现的。
现在我们给你们指出这行,它执行服务登录,使用 Apache Sling api,它不使用请求,来自请求的用户,它做自己的事情,然后访问用户的个人资料图片。如果它什么都没有,它只返回/content 下的默认值,这就是为什么服务用户也可以访问/content。
现在,让我们回到应用程序。看一下评论,如果我们转到欢迎页面,可以看到,作为管理员添加一个 hello world 的注释,但这不是在 HTML 中呈现的。
有趣的是,如果我到实际的内容,这里有注释,你会看到它没有被存储转义,它以原始形式存储格式化为用户发送的格式。如果我们转到渲染脚本,我们将看到没有执行任何逃避。相反,HTML、模版引擎被理解是 HTML 上下文中运行的。默认情况下,它不应该被渲染。
当然,如果我们想要不安全的生活,我们可以要求它以不安全的方式呈现。一旦我们这样做了,所有类型的 XSS 攻击都将打开大门。但默认情况下,我们是受 XSS 保护的,且不需要我们做任何事情。
7. 资源
STRIDE 模型是为您的应用程序创建威胁模型的有用工具,以及OWASP 十大漏洞,它们是web应用程序中最常遇到的漏洞。
感谢大家的关注,希望大家能从我的演讲中有所收获。
