其中包含丢失<%=%>的网络项目,这不是XSS安全的!是否有任何方法可用于解决所有问题?
如果你有大量%{}的jsp web项目,你可以更改EL解析器功能以覆盖默认的ELResolver并使${} XSS安全。请参阅https://github.com/pukkaone/webappenhance
<%=>有同样的方法吗?我们可以像<%=%> ??
${}的功能
我在Java 5 HTML escaping To Prevent XSS看到了一些指南。
答案 0 :(得分:1)
不,你不能。 <%= expr %>是一个基本构造,按原样打印值;有人可能需要来转储原始HTML代码段
<%= article.getBodyHtml %>