[HaBo]
| Webmaster-Security Fragen zur richtigen Serverkonfiguration oder Absicherung dynamischer Scripte gehören hier hinein. |
PortalUtil + JSF = XSS ?
Diskussion: PortalUtil + JSF = XSS ? im Forum Webmaster-Security, in der Kategorie Security Area; Anzeige Hallo zusammen, bin neu hier und habe direkt auch mal eine Frage. Ich programmiere mit JSF 1.2 und der ...
 |
19.09.11, 10:23
| #1 (permalink) |
| Registriert seit: 19.09.11  Likes: 0 |  PortalUtil + JSF = XSS ? Anzeige Hallo zusammen, bin neu hier und habe direkt auch mal eine Frage. Ich programmiere mit JSF 1.2 und der Liferay Portal Community Edition eine Webanwendung. Hier der relevante Code-Schnippsel: Code: import javax.faces.event.PhaseEvent;
import javax.faces.event.PhaseId;
import javax.faces.event.PhaseListener;
import javax.portlet.PortletResponse;
import javax.servlet.http.HttpServletResponse;
import com.liferay.portal.util.PortalUtil;
import com.sun.faces.portlet.ExternalContextImpl;
public class MyClass implements
PhaseListener {
....
public void beforePhase(PhaseEvent event) {
ExternalContextImpl ctx = (ExternalContextImpl) event.getFacesContext()
.getExternalContext();
....
// Response absenden
HttpServletResponse resp = PortalUtil
.getHttpServletResponse((PortletResponse) ctx.getResponse());
resp.setContentType("application/json");
resp.setHeader("Cache-Control", "no-store");
resp.setCharacterEncoding("UTF-8");
PrintWriter pw;
try {
pw = resp.getWriter();
pw.write(getJSONData(par1, par2, par3));
} catch (IOException e) {
}
}
} Verfügt PortalUtil oder einer der anderen hier verwendenten Methoden über interne Validierungs-Methoden bzw. welche die die Werte Escapen? Viele Grüße, bujun |
|  |
|
| - Anzeige - | |
|
[HaBo] » Security Area » Webmaster-Security » PortalUtil + JSF = XSS ?
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
