使用<a href=""> to link a HTMLEntityEncoded String

时间:2016-11-29 22:55:15

标签: html jsp href xss owasp

I have url that has been encoded by HTMLEntityCodec class.

Let's say the original url is https://www.example.com/aa/bb

编码后,字符串变为:https&amp;#x3-a;&amp;#x2f - ;&amp;#x2f-; www.example.com:4443&amp;#x2f-; aa&amp;#x2f-; bb

然后我尝试使用<a href>在jsp中使用编码的url, 但我得到的总是https://www.example.com/aa/https:&#x2f-;&#x2f-;www.example.com:4443&#x2f-;aa&#x2f-;bb

看起来输入被视为相对网址,并且附加了域。

有什么想法吗?

1 个答案:

答案 0 :(得分:0)

我不知道jsp,但我想

encoder.decodeForHTML(str);

是您正在寻找的(HtmlEntityCodec的功能)。

在将链接插入a-tag的href属性之前,您应解码html编码的URL。

我在那里找到了这个功能:Java Code Example。这对你有帮助吗?