Forms 如何在ofbiz中转义字符在ofbiz中显示实体| XSS_Forms_Escaping_Entity_Xss_Ofbiz

Forms 如何在ofbiz中转义字符在ofbiz中显示实体| XSS

forms

Forms 如何在ofbiz中转义字符在ofbiz中显示实体| XSS,forms,escaping,entity,xss,ofbiz,Forms,Escaping,Entity,Xss,Ofbiz,Ofbiz表单：需要从显示实体标记的描述列中转义字符以避免XSS攻击： <display-entity entity-name="Table" description="${description}" > 此处是否存在用于在说明中转义字符的解决方案？此处没有XSS问题，如中所述，因此无需转义，这是OFBiz自动完成的。我们最近向Scipio ERP（OFBiz分叉）提交了此XSS漏洞的修补程序：可能值得一看（www.scipiorp.com）。如果我们提交此脚本：作为DB中描述

Ofbiz表单：需要从显示实体标记的描述列中转义字符以避免XSS攻击：

<display-entity entity-name="Table" description="${description}" >

此处是否存在用于在说明中转义字符的解决方案？

此处没有XSS问题，如中所述，因此无需转义，这是OFBiz自动完成的。

我们最近向Scipio ERP（OFBiz分叉）提交了此XSS漏洞的修补程序：

可能值得一看（www.scipiorp.com）。

如果我们提交此脚本：

作为DB中描述列的值，然后我们继续此表单，弹出窗口。这里存在一种从


<display-entity entity-name="Table" description="${bsh: org.apache.commons.lang.StringEscapeUtils.escapeHtml(&quot;${description}&quot;)}">

Error rendering screen [component://my/widget/CommonScreens.xml#GlobalDecorator]: java.lang.IllegalStateException: This object has been flagged as immutable (unchangeable), probably because it came from an Entity Engine cache. Cannot set a value in an immutable entity object. 
(This object has been flagged as immutable (unchangeable), probably because it came from an Entity Engine cache. Cannot set a value in an immutable entity object.)