标签: java html jsp xss
在jsp页面中有一个输入值属性,以这种方式填充
value="<%=plainText==null?"":plainText %>"/>
如果有人设法放置类似
" ><script>doEvil();</script>
答案 0 :(得分:1)
如果您不检查输入
查看这些链接以获取更多信息&amp;预防:
XSS prevention in JSP/Servlet web application
Avoid XSS and allow some html tags with JavaScript
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet