0

たとえば、私の Java サーブレット プロジェクトでは、ユーザーがサイトに入力したテキストを同じサイトに返します (また、HTML および JavaScript 内の複数の場所で、XSS 攻撃の可能性があります)。

次のように、Apache StringEscapeUtils クラスを使用して HTML と JavaScript の両方を同時にエスケープするのは正しいですか。

String sample_string=escapeEcmaScript(escapeHtml4(request.getParameter("sample_string")));
4

1 に答える 1

1

Spring のHtmlUtilsのいずれかを使用できます。

HtmlUtils.htmlEscape(input)

または Apache commons StringEscapeUtils :

StringEscapeUtils.escapeHtml(input)

HTML をエスケープする場合、Javascript について心配する必要はありません。HTML はエスケープされているため、Javascript はプレーン テキストとして表示され、実行されません。

于 2015-12-21T08:18:09.817 に答える