有一个网络项目丢失了 <%=%>
其中,这不是 XSS 安全的!有什么方法可以解决所有问题吗?
如果您的 jsp Web 项目包含大量 %{},您可以更改 EL 解析器功能以覆盖默认的 ELResolver 并制作 ${}
XSS 安全。请参阅https://github.com/pukkaone/webappenhance
<%=>
有同样的方法吗? ?!我们可以覆盖 <%=%>
的功能吗?与 ${}
相同??
我在 Java 5 HTML escaping To Prevent XSS 上看到了一些指南.
最佳答案
不,你不能。 <%= expr %>
是按原样打印值的基本构造;有人可能需要它来转储原始 HTML 片段
<%= article.getBodyHtml %>
关于java - 覆盖 JSP 中的默认 <%=%> 以防止 XSS Hack,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23379835/