Java Tomcat Apache ServletException输出编码
我有一个奇怪的问题。在Tomcat4.0.6中,如果我提出一个默认的javax.servlet.ServletException(消息),其中消息包含危险的HTML,例如XSS攻击警报(1),它将在Server500异常报告页面上以未编码的方式反映给用户 但是,在Tomcat 6.0.37中,相同的应用程序会引发相同的javax.servlet.ServletException(消息)。返回的消息带有编码的HTML实体,例如“”是安全的 我找不到任何关于Tomcat 6和Tomcat 4默认行为的文档。在哪里记录或注明?假设并非所有Tomcat版本都能正确地清理用户行为是否危险?参考号()Java Tomcat Apache ServletException输出编码,java,apache,security,tomcat,xss,Java,Apache,Security,Tomcat,Xss,我有一个奇怪的问题。在Tomcat4.0.6中,如果我提出一个默认的javax.servlet.ServletException(消息),其中消息包含危险的HTML,例如XSS攻击警报(1),它将在Server500异常报告页面上以未编码的方式反映给用户 但是,在Tomcat 6.0.37中,相同的应用程序会引发相同的javax.servlet.ServletException(消息)。返回的消息带有编码的HTML实体,例如“”是安全的 我找不到任何关于Tomcat 6和Tomcat 4默认行为
有人能澄清一下这里发生了什么吗?由于存在安全风险,您真的不应该再使用这种旧的Tomcat版本了!现在的实际版本是7.x、8.x和9.x。