在URL(http://www.playframework.com/documentation/1.1.1/security#xss)中,它被提及为播放后版本1.0.1版本,字符串会自动转义,但在Play 1.2.4中不是这种情况,这是我目前的情况版。 请在这里建议可能不正确的内容?
答案 0 :(得分:0)
我过去遇到过同样的事情,但这种情况只出现在标签上。
我的意思是,在模板上使用时,它会自动转义HTML(用于防止XSS),但在标签中则不会。我必须在所有代码中声明${someVar?.escape().raw()}。