KeyCloak Admin UI принимает теги сценариев в полях пользователя - как добавить проверку или предотвратить XSS? [закрыто] ⇐ JAVA

[Anonymous]

В настоящее время я выполняю обзор безопасности пользовательского интерфейса Admin KeyCloak и заметил, что он принимает и сохраняет необработанные теги в полях ввода пользователя (например, имя). Например, я смог сохранить следующий ввод без какой -либо ошибки или дезинфекции: < /p>

Код: Выделить всё

do{alert('0')}

Это было успешно сохранено и появляется в пользовательском интерфейсе администратора. Хотя я еще не видел, чтобы он выполнял, я обеспокоен тем, что это может привести к уязвимости XSS, если она оказалась бессмысленной в других местах в пользовательском интерфейсе. Конфигурация или расширения KeyCloak.
Есть ли рекомендуемые передовые практики или расширения для обеспечения пользовательского интерфейса администратора от такого ввода.
Любые известные настройки KeyCloak или SPI (интерфейсы поставщика услуг), которые могут помочь перехватить и проверять пользовательский ввод до его сохранения.
Я использую версию KeyCloak 21>

Подробнее здесь: https://stackoverflow.com/questions/797 ... idation-or