如何保护我们的Web应用程序免受XSS攻击?如果一个应用程序不会对特殊的charecters进行任何转换,那么一个应用程序是不可侵犯的.
解决方法
在将其输出回用户之前,您应该将
HTML转义为任何输入.一些参考文献:
> OWASP XSS (Cross Site Scripting) Prevention Cheat Sheet
>考虑从@L_502_2@使用StringEscapeUtils.escapeHtml()
>或从Spring使用HtmlUtils.htmlEscape()
> XSS attack prevention
> XSS prevention in JSP/Servlet web application