![[HaBo]](/styles/default/logoklein.png){kind=small}
Hallo zusammen,
bin neu hier und habe direkt auch mal eine Frage.
Ich programmiere mit JSF 1.2 und der Liferay Portal Community Edition eine Webanwendung.
Hier der relevante Code-Schnippsel:
Meine Frage ist nun, ob es hierbei die Möglichkeit gibt, XSS (reflected) einzusetzen, da keine explizite Validierung realisiert ist.
Verfügt PortalUtil oder einer der anderen hier verwendenten Methoden über interne Validierungs-Methoden bzw. welche die die Werte Escapen?
Viele Grüße,
bujun
bin neu hier und habe direkt auch mal eine Frage.
Ich programmiere mit JSF 1.2 und der Liferay Portal Community Edition eine Webanwendung.
Hier der relevante Code-Schnippsel:
Code:
import javax.faces.event.PhaseEvent;
import javax.faces.event.PhaseId;
import javax.faces.event.PhaseListener;
import javax.portlet.PortletResponse;
import javax.servlet.http.HttpServletResponse;
import com.liferay.portal.util.PortalUtil;
import com.sun.faces.portlet.ExternalContextImpl;
public class MyClass implements
PhaseListener {
....
public void beforePhase(PhaseEvent event) {
ExternalContextImpl ctx = (ExternalContextImpl) event.getFacesContext()
.getExternalContext();
....
// Response absenden
HttpServletResponse resp = PortalUtil
.getHttpServletResponse((PortletResponse) ctx.getResponse());
resp.setContentType("application/json");
resp.setHeader("Cache-Control", "no-store");
resp.setCharacterEncoding("UTF-8");
PrintWriter pw;
try {
pw = resp.getWriter();
pw.write(getJSONData(par1, par2, par3));
} catch (IOException e) {
}
}
}Meine Frage ist nun, ob es hierbei die Möglichkeit gibt, XSS (reflected) einzusetzen, da keine explizite Validierung realisiert ist.
Verfügt PortalUtil oder einer der anderen hier verwendenten Methoden über interne Validierungs-Methoden bzw. welche die die Werte Escapen?
Viele Grüße,
bujun