JSP ファイルから値を指定してパラメータを渡しています。その前に、ApacheStringEscapeUtilsを使用して、パラメータ値を使用した XSS 攻撃スクリプトの実行を回避しています。
たとえば、誰かがこのように値を挿入してアクセス権を取得した場合
このようなものが値として渡されると、クロススクリプトテストは現在失敗しています
site_locale=en_US%2F%3E%3Ciframe+src%3Djavascript%3Aalert%28116%29+
このようなものが渡されると、ブラインド SQL インジェクション テストは現在失敗しています
isMgr=true%27+and+%27f%27%3D%27f%27%29+--+
ここでの私の質問はStringEscapeUtils.escapeHtml、渡された上記のタイプのパラメーター値から保存するか、それとも他のライブラリが必要かということです
StringEscapeUtilsまた、JSPで呼び出している方法が正しいかどうかを確認したかった
<input type="hidden" name="site_locale" value= <%= StringEscapeUtils.escapeHtml(site_locale) %> >
ここでのポインタに感謝します
ありがとう