我想清理服务器使用这些jsp标签发送给用户(浏览器)的文本。
在阅读此帖XSS prevention in JSP/Servlet web application
后得到了解<c:out value="${bean.userControlledValue}">
<input name="foo" value="${fn:escapeXml(param.foo)}">
但我有很多jsp页面,我想要搜索标签或<p>并添加这些转义标签,这样做是好还是我们需要处理的任何缺点或预防措施。
答案 0 :(得分:1)
我没有看到任何缺点或预防措施。 如果你想确定,最好是阅读实际的源代码:) org.apache.taglibs.standard.functions.Functions