java - 覆盖 JSP 中的默认 <%=%> 以防止 XSS Hack

标签 java jsp xss

有一个网络项目丢失了 <%=%>其中,这不是 XSS 安全的!有什么方法可以解决所有问题吗?

如果您的 jsp Web 项目包含大量 %{},您可以更改 EL 解析器功能以覆盖默认的 ELResolver 并制作 ${} XSS 安全。请参阅https://github.com/pukkaone/webappenhance

<%=>有同样的方法吗? ?!我们可以覆盖 <%=%> 的功能吗?与 ${} 相同??

我在 Java 5 HTML escaping To Prevent XSS 上看到了一些指南.

最佳答案

不,你不能。 <%= expr %>是按原样打印值的基本构造;有人可能需要它来转储原始 HTML 片段

<%= article.getBodyHtml %>

关于java - 覆盖 JSP 中的默认 <%=%> 以防止 XSS Hack,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23379835/

上一篇:java - WADL 生成用于休息而不使用 Maven

下一篇:java - 聊天应用程序: Get messages between 2 users in Parse query

相关文章:

Java:ProcessBuilder:运行 Java 文件

用于检查列表中的一项是否在另一项列表中的Java方法(有点像Excel中的VLOOKUP)?

javascript - 如何开始使用某人的 API 制作一个小型跨站点 AJAX 脚本?

javascript - 减轻来自提交数据的 XSS 攻击 - < 字符是所有攻击的核心吗?

html - 这种应用内容安全策略的方法可以吗?

java - Android SAX XML 解析器访问外壳标签 URL 属性

java - 具有 SSL-Handshake-Exception 的 Android JavaX-Mail

javascript - 评级不是函数 jquery 插件错误

java - HashMap 错误 : javax. el.PropertyNotFoundException

java - JAX-RS 休息服务工作正常。如何添加JSP页面?被配置卡住了

©2024 IT工具网  联系我们