KeyCloak Admin UI принимает теги сценариев в полях пользователя - как добавить проверку или предотвратить XSS? ⇐ JAVA

[Anonymous]

В настоящее время я выполняю обзор безопасности пользовательского интерфейса Admin KeyCloak и заметил, что он принимает и сохраняет необработанные теги в полях ввода пользователя (например, имя). Например, я смог сохранить следующий ввод без какой -либо ошибки или дезинфекции: < /p>

Код: Выделить всё

do{alert('0')}

Это было успешно сохранено и появляется в пользовательском интерфейсе администратора. Хотя я еще не видел, чтобы он выполнял, я обеспокоен тем, что это может привести к уязвимости XSS, если она оказалась бессмысленной в других местах в пользовательском интерфейсе. Конфигурация или расширения KeyCloak.
Есть ли рекомендуемые лучшие практики или расширения для обеспечения пользовательского интерфейса администратора от такого ввода.
Любые известные настройки KeyCloak или SPI (интерфейсы поставщика услуг), которые могут помочь перехватить и проверить пользовательский ввод до его сохранения.
Я использую версию keycloak [Insert Werie Werie Wrieper [in Insert Were]. ценится!
Заранее.

Подробнее здесь: https://stackoverflow.com/questions/797 ... idation-or