如何解决跨站脚本:糟糕的验证 JSP
我遇到了跨站脚本:我的 JSP 文件验证不佳
<td>${message}</td>
解决方法
在输出之前,您需要使用任何 AntiXSS 库清理来自用户的任何输入,并对 {message}
进行 HTML 编码。这是防止跨站点脚本的良好编码习惯。
我不是 JSP 编码员,但一次简单的搜索使我找到了 this OWASP page。因此,以下语句应该可以完成工作。您需要导入包 org.owasp.Encode
。
<td>"<%=Encode.forHtml(message)%>"</td>
完成它的更原生的方法是使用 fn:escapeXML 函数。这样,您的代码将如下所示:
<td>{fn:escapeXml(message)}</td>
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。