跨域攻击XSS防御

2021-07-12 11:38:58 浏览数 (2)

Java的view层可以使用EL和JSTL

后端的ModelAndView增加

代码语言:javascript复制
mv.addObject("xss", "<script>alert("test")</script>");

View页面

代码语言:javascript复制
${xss}
<c:out value="${xss}" escapeXml="true"></c:out>
<c:out value="${xss}"></c:out>

c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘<‘ ‘>‘ ‘&‘ 等进行转义,而EL表达式则不会。

0 人点赞