Security 通过替换'形成安全性&燃气轮机''<'；人物_Security_Jsp

Security 通过替换'形成安全性&燃气轮机''<'；人物

security jsp

Security 通过替换'形成安全性&燃气轮机''<'；人物,security,jsp,Security,Jsp,我使用JSP创建了一个web表单，为了防止攻击，我执行以下操作： input.replace("<", "something else"); input.replace(">", "something else"); input.replace（“，“其他内容”）；因此，用户不能在表单中添加HTML或其他标记这是否足以防止此类攻击（在内部插入HTML或其他标记）我的网站谢谢 JH。G.简言之，不是。我建议你应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码，以

我使用JSP创建了一个web表单，为了防止攻击，我执行以下操作：

input.replace("<", "something else");
input.replace(">", "something else");

input.replace（“，“其他内容”）；

因此，用户不能在表单中添加HTML或其他标记

这是否足以防止此类攻击（在内部插入HTML或其他标记）我的网站

谢谢

JH。G.

简言之，不是。我建议你应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码，以防止XSS攻击

简言之，没有。我建议您应该为此签出项目。他们有内置的工具对请求和响应进行HTML编码，以防止XSS攻击

这不是完全正确的方法。它不仅是不完整的，因为

，

“

和

需要转义，而且实际上应该使用

或

fn:escapeXml（）

转义视图中的HTML/XML实体

例如

另见：

这不是完全正确的方法。这不仅是不完整的，因为

，

“

和

需要转义，而且实际上应该使用

或

fn:escapeXml（）

转义视图中的HTML/XML实体

例如

另见：

为什么不？你能给我举个袭击的例子吗？当然。检查XSS攻击列表上的一个好的备忘单。为什么不？你能给我举个袭击的例子吗？当然。检查XSS攻击列表上的良好备忘单。如果有人填写

scriptalert（'got you！'）/script

，这样他们就可以攻击在你之后获取此数据的系统？如果有人填写

scriptalert（'got you！'）/script

，这样他们就可以攻击在你之后获取此数据的系统呢？

<c:out value="${bean.value}" />
<input type="text" name="foo" value="${fn:escapeXml(param.foo)}" />