0
存在丟失<%=%>
的Web項目,它不是XSS安全的!是否有任何方法可以用來修復它們?在JSP中覆蓋默認<%=%>以防止XSS黑客
如果您有很多%{}的jsp web項目,您可以更改EL解析器功能以覆蓋默認的ELResolver並使XSS安全。請參閱https://github.com/pukkaone/webappenhance
是否有與<%=>
相同的方式?我們是否可以像${}
一樣重寫<%=%>
的功能?
我在Java 5 HTML escaping To Prevent XSS看到一些指南。
你的意思是使用此語句''<%=%>打印在JSP表達式? –
是的!他們使用<%=%>在jsp中打印 –
因此,在jsp中打印值時需要避免使用xss。這可能與你的問題無關。請參閱[如何避免jsp中的java代碼](http://stackoverflow.com/questions/3177733/how-to-avoid-java-code-in-jsp-files) –