Security 通过替换'形成安全性&燃气轮机''<';人物
我使用JSP创建了一个web表单,为了防止攻击,我执行以下操作:Security 通过替换'形成安全性&燃气轮机''<';人物,security,jsp,Security,Jsp,我使用JSP创建了一个web表单,为了防止攻击,我执行以下操作: input.replace("<", "something else"); input.replace(">", "something else"); input.replace(“,“其他内容”); 因此,用户不能在表单中添加HTML或其他标记 这是否足以防止此类攻击(在内部插入HTML或其他标记) 我的网站 谢谢 JH。G.简言之,不是。我建议你应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码,以
input.replace("<", "something else");
input.replace(">", "something else");
input.replace(“,“其他内容”);
因此,用户不能在表单中添加HTML或其他标记
这是否足以防止此类攻击(在内部插入HTML或其他标记)
我的网站
谢谢
JH。G.简言之,不是。我建议你应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码,以防止XSS攻击 简言之,没有。我建议您应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码,以防止XSS攻击 这不是完全正确的方法。它不仅是不完整的,因为
'
,“
和&
需要转义,而且实际上应该使用
或fn:escapeXml()
转义视图中的HTML/XML实体
例如
另见:
'
,“
和&
需要转义,而且实际上应该使用
或fn:escapeXml()
转义视图中的HTML/XML实体
例如
另见:
scriptalert('got you!')/script
,这样他们就可以攻击在你之后获取此数据的系统?如果有人填写scriptalert('got you!')/script
,这样他们就可以攻击在你之后获取此数据的系统呢?
<c:out value="${bean.value}" />
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />