Jag har läst om XSS-förebyggande på OWASP och andra säkerhetskanaler. De säger alla att jag borde använda ESAPI eller ett liknande bibliotek och göra ingångsfiltrering genom en vitlistning.
Men jag använder ett ramverk (Webobjects) som kodar som standard, så att använda ESAPI ändrar min input och är därför inte ett alternativ för mig.
Det andra alternativet är att använda en vitlistalik. Jag stöder många språk som japanska, ryska, koreanska etc, så hur bestämmer jag vilka tecken som ska vitlistas?
Varför är whitelist-tillvägagångssätt också bättre än en svartlistad metod som nämns av OWASP? Varför inte bara blockera en handfull tecken som används i XSS som <
, >
, etc?