防止 XSS/Cross 站点脚本漏洞 - request.getParameter() in JSP
Prevent XSS/Cross site scripting vulnerability - request.getParameter() in JSP
我正在寻找修复 JSP 页面,该页面具有多个 request.getParameter() 变量。你能建议用什么代替这个吗?
<%
if(appStatusId == AppCon.DECLINED) {
String VPC = request.getParameter(constants.PRODUCT_CODE);
%>
String Make = request.getParameter(constants.VEH_MAKE);
String NewUsed = request.getParameter(constants.VEH_NEWUSED);
处理不受信任的用户输入时(例如来自 request.getParameter() 的值,您应该始终在显示之前转义输入。
使用像 StringEscapeUtils (from Apache Commons Text) 这样的实用程序 class 来转义数据,而不是自己转义。
对于您的示例,它是这样的:
String my Variable = StringEscapeUtils.escapeHtml4(request.getParameter("myParameter")
您可以在 OWASP 网站上找到有关转义的背景信息 C4: Encode and Escape Data
我正在寻找修复 JSP 页面,该页面具有多个 request.getParameter() 变量。你能建议用什么代替这个吗?
<%
if(appStatusId == AppCon.DECLINED) {
String VPC = request.getParameter(constants.PRODUCT_CODE);
%>
String Make = request.getParameter(constants.VEH_MAKE);
String NewUsed = request.getParameter(constants.VEH_NEWUSED);
处理不受信任的用户输入时(例如来自 request.getParameter() 的值,您应该始终在显示之前转义输入。
使用像 StringEscapeUtils (from Apache Commons Text) 这样的实用程序 class 来转义数据,而不是自己转义。
对于您的示例,它是这样的:
String my Variable = StringEscapeUtils.escapeHtml4(request.getParameter("myParameter")
您可以在 OWASP 网站上找到有关转义的背景信息 C4: Encode and Escape Data