那些遇到过的问题

Spring MVC defaultHtmlEscape - 它在进出的方式上有效吗?

Boz*_*zho 8 java spring spring-mvc

当我设置defaultHtmlEscapetrue在web.xml,在所有输入字段设置的值便得到了转义.

但是当提交它们时,值不会被转义.

那么,这个参数是否仅用于输出,并且不包括参数的提交是真的(因此,如果我想在数据库中存储xss-safe值,我应该做其他事情)

axt*_*avt 6

输入字段的默认HTML转义设置已经存在true,因此这true意味着您默认获得的行为.

此外,我想如果你想在数据库中存储xss-safe值,你需要将其设置false为以避免双重转义.

所以,你需要一些不同的东西来实现输入转义,也许是过滤器.虽然我认为输入转义不是一个好主意,但是一致的输出转义看起来更可靠,并且不会在数据库中处理数据时产生问题.

  • @Ithar我想到的一些原因是:a /因为你可以在很多方面插入无效字符,因此你必须在输入的任何地方执行一致的检查.b /另外,在某些情况下,有些人可能会访问数据库并在那里添加无效表达式.在这种情况下,由于未检查xss的db输入,因此您可能存在潜在漏洞. (2认同)

归档时间:

查看次数:

11148 次

最近记录:

11 年,5 月 前
相关归档
在JavaScript中,Java的Thread.sleep()相当于什么? 165
如何从NetBeans 6.8中删除所有断点? 72
接口中的属性/成员变量? 65
Spring Util:通过注释将属性注入到bean中 30
Spring Security Cookie + JWT身份验证 16
在IntelliT Idea for Kotlin @ConfigurationProperties类中未生成spring-configuration-metadata.json文件 10
SessionStatus object.setComplete()是否清除所有会话属性或仅适用于使用它的控制器? 9
Spring OAuth @EnableResourceServer阻止来自OAuth服务器的登录页面 7
提交Spring表单时的日期格式错误 5
How does autowiring of custom spring data (mongo) repositories configured with java config work? 1
难疑归档
C++中指针变量和引用变量之间有什么区别? 3115
停止EditText在Activity启动时获得焦点 2770
如何删除GitHub上的提交? 1619
在JavaScript中将字符串转换为整数? 1603
在Python中将整数转换为字符串? 1282
Git:如何在项目提交历史中找到已删除的文件? 1183
有条件地申请课程的最佳方式是什么? 1172
在React JSX中循环 1131
在拉动期间解决Git合并冲突以支持其更改 1104
JavaScript中的(内置)方式,用于检查字符串是否为有效数字 1051