我有一个奇怪的问题。在Tomcat 4.0.6中,如果我引发一个默认的javax.servlet.ServletException(message),其中消息包含危险的HTML,例如XSS攻击警报(1),它会在服务器500异常上反映为未编码的用户报告页面。
但是在Tomcat 6.0.37中,同一个应用程序引发了相同的javax.servlet.ServletException(Message),并使用编码的HTML实体返回消息,例如'<>'这是安全的。
我找不到关于Tomcat 6与Tomcat 4的默认行为的任何文档。这些文档在哪里记录或注明?假设并非所有Tomcat版本都能正确清理用户行为,这是危险的吗?参考(https://tomcat.apache.org/tomcat-7.0-doc/servletapi/javax/servlet/ServletException.html)
任何人都可以澄清这里发生了什么吗?