• 博客园logo
  • 会员
  • 众包
  • 新闻
  • 博问
  • 闪存
  • 赞助商
  • HarmonyOS
  • Chat2DB
    • 搜索
      所有博客
    • 搜索
      当前博客
  • 写随笔 我的博客 短消息 简洁模式
    用户头像
    我的博客 我的园子 账号设置 会员中心 简洁模式 ... 退出登录
    注册 登录
山高我为峰
博客园    首页    新随笔    联系   管理    订阅  订阅
一. Spring框架防XXS跨站攻击

使用 Spring 框架进行 Java Web 开发,可以在 web.xml 文件中设置 HTML encode,在 JSP 文件页面元素 form 中确定实施。

web.xml 加上:

<context-param>

   <param-name>defaultHtmlEscape</param-name>

   <param-value>true</param-value>

</context-param>

在包含form的jsp页面中添加:

 <spring:htmlEscape defaultHtmlEscape="true" />

直接在form中的元素中添加

<form:input path="someFormField" htmlEscape="true" />

或

<form:form htmlEscape="true">

JSTL输出

<c:out value="${formulario}" escapeXml="true" />默认
escapeXml
就为true
或
${fn:escapeXml(param.nextUrl)}

 

posted on 2015-12-01 15:59  山高我为峰  阅读(986)  评论(0)    收藏  举报
刷新页面返回顶部
博客园  ©  2004-2025
浙公网安备 33010602011771号 浙ICP备2021040463号-3