标签: security jsp
我使用JSP创建一个Web表单,为防止攻击,我执行以下操作:
input.replace("<", "something else"); input.replace(">", "something else");
因此用户无法在表单中添加HTML或其他标记。
这是否足以阻止此类攻击(在其中插入HTML或其他标记 我的网站)??
谢谢你 JH。 -G。
答案 0 :(得分:3)
简而言之,没有。我建议您为此查看ESAPI项目。他们内置了HTML编码请求和响应工具,以防止XSS攻击。
答案 1 :(得分:0)
这不是完全正确的方法。它不仅不完整,因为',"和& also需要转义,但您实际上应该使用JSTL <c:out>或{ {1}}在视图端转义HTML / XML实体。
'
"
&
<c:out>
E.g。
fn:escapeXml()