[英]Are there any drawbacks of using JSTL tags for escaping XML for XSS prevention
我想清理将由服务器使用这些jsp标记发送给用户(浏览器)的文本。
阅读这篇文章,了解JSP / Servlet Web应用程序中的XSS预防后,有了一个主意
<c:out value="${bean.userControlledValue}">
<input name="foo" value="${fn:escapeXml(param.foo)}">
但是我有很多jsp页面,我想搜索标签或<p>
并添加这些转义标签,因此,这样做好还是我们需要注意的任何缺点或预防措施。
我看不到任何缺点或需要注意的预防措施。 如果您想确定的话,最好是阅读实际的源代码:) org.apache.taglibs.standard.functions.Functions
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.