为防止liferay中的XSS攻击,我遵循域模型属性的自动转义提示概念。 我在portlet-model-hints.xml
中添加了以下配置EZAudioPlotGL从数据输入屏幕我添加了数据
<field name="lastName" type="String" localized="true">
<hint name="auto-escape">false</hint>
</field>
表示姓氏字段。但是从没有使用标签的公共视图页面显示已分配的输出和警报。当我们使用相关标签时,不会显示设计输出。
所以我的疑问是,&#34; auto-escape&#34;的确切用法是什么?这里? 并且此自动转义仅适用于标签吗?
有人可以让我明白自动逃避提示。
答案 0 :(得分:0)
默认情况下,auto-escape属性为true,并使用liferay类HtmlUtil.escape将html标记替换为html实体,以转义html。 HtmlUtil的源代码中有评论
// Escape using XSS recommendations from
// http://www.owasp.org/index.php/Cross_Site_Scripting
// #How_to_Protect_Yourself