标签: spring
我遇到了一些安全问题,表明在项目中defaultHtmlEscape不正确,并且在web.xml中使其正确,但是在调试时,我确实检查了输入参数是否包含{{1} },但大多数网站都说<script></script> true会逃避XSS问题,即使我将defaultHtmlEscape的请求参数值发送到spring控制器时,也无法解决XSS问题并将脚本发送到数据库。
defaultHtmlEscape
web.xml
<script></script>
在web.xml中使用默认的html转义为true后,参数值不应包含html值,而应具有html字符代码。