我的情况是用户可以通过HTML页面或JSP上的textarea提交反馈。这样可以正常工作,文本最终会出现在数据库中。
但是,是否有人可以建议任何可能阻止某人试图提交可能影响网页行为的恶意脚本的保护措施?
我知道解析输入的文本并转换任何<到'& LT';和>到'& GT';但是我还能做些什么来验证输入的文本吗?
由于
摩根先生答案 0 :(得分:0)
检查一下: Recommended method for escaping HTML in Java
请参阅Apache StringEscapeUtils
escapeJavaScript 和 escapeHtml