在我的应用程序中,带有脚本标记的应用程序的HTTP GET请求URL正在重新显示,尽管它未通过授权。
示例:http://www.example.com/welcome<script>alert("hi")</script>
问题是通过修改现有的GET URL来清理直接输入地址栏的外部输入。 Spring会重新显示提交的URL。
虽然脚本没有在浏览器中执行(FF),但是在将它们显示回用户之前是否还要删除这些值的URL
参考:Spring MVC application filtering HTML in URL - Is this a security issue?
答案 0 :(得分:2)
@ Raghav ..这个链接可能会帮助你Spring - Rewrite one URL to another,这会讨论一个用于url重写的库,它位于spring ...之外。但是可以很容易地用spring配置它。