标签: java xss owasp esapi
我正在使用OWASP ESAPI来防止XSS攻击。我正在使用ESAPI.encoder().encodeForHTML((String)request.getAttribute("value")) 根据他们的建议,值会显示为已转义,例如test (11)的值显示为输入标记的test (11)。我也试过JSTL标签,但结果相同。是否有任何方法将浏览器视为JUST数据而不是脚本,以便可以以原始形式显示该值。
ESAPI.encoder().encodeForHTML((String)request.getAttribute("value"))
test (11)
test (11)