Java 在输入标记中仍显示原始字符时防止XSS
我正在使用OWASP ESAPI来防止XSS攻击。我正在使用ESAPI.encoder.encodeForHTMLStringrequest.getAttributevalueJava 在输入标记中仍显示原始字符时防止XSS,java,xss,owasp,esapi,Java,Xss,Owasp,Esapi,我正在使用OWASP ESAPI来防止XSS攻击。我正在使用ESAPI.encoder.encodeForHTMLStringrequest.getAttributevalue 然而,根据他们的建议,该值显示为转义,就像测试11的值显示为测试&40;11&41; 用于输入标记。我也尝试过使用JSTL标记,但结果相同。浏览器是否有办法将值视为数据而不是脚本,以便以原始形式显示值。使用ESAPI.encoder.EncodeforHtmlatAttribute作为属性ESAPI.encoder.En
然而,根据他们的建议,该值显示为转义,就像测试11的值显示为测试&40;11&41; 用于输入标记。我也尝试过使用JSTL标记,但结果相同。浏览器是否有办法将值视为数据而不是脚本,以便以原始形式显示值。使用ESAPI.encoder.EncodeforHtmlatAttribute作为属性ESAPI.encoder.EncodeforHtmlatAttribute,但行为相同。问题已解决。实际上,要显示的值正在筛选器中转义:。Thanks@Shayan请把你的答案贴在下面的答案部分,这样可以更好地看到它,并帮助一些人。