个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
24
4
我的 JSP 中有一个 HTML 选择标记
<%@ taglib prefix="esapi" uri="http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API"%>
<select>
...
<option value="volvo">${device.name}</option>
....
</select>
我将其设置为数据库中的设备名称
"><script>alert(1)</script>2d65
当我加载页面时,我试图摆脱警报
<esapi:encodeForHTMLAttribute>${device.name}</esapi:encodeForHTMLAttribute>
或
<esapi:encodeForHTML>${device.name}</esapi:encodeForHTML>
或
<c : out value="${device.name}"/>
或
<esapi:encodeForJavaScript>${device.name}</esapi:encodeForJavaScript>
但是没有办法!加载页面时始终会出现警告消息!
事实上,我看到字符被转义了,但即使在 JSP 中也会出现警告
最佳答案
尝试不使用 taglib:
<%@ page import="org.owasp.esapi.*" %>
...
<select>
...
<option value="volvo"><%out.print(ESAPI.encoder().encodeForHTML(device.name));%></option>
....
</select>
关于javascript - 跨站脚本 : encodeForHTML for HTML content (The OWASP Enterprise Security API),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33829387/
24
4
0
在 ColdFusion 中使用 EncodeForHTML 时,换行符 (\n) 和回车符 (\r) 会转换为哪些字符?我已经尝试了所有我能想到的(或在网上找到的),但在我的 REReplace 语
当用户在网站上注册时,我们应该在将值存储到数据库之前使用 EncodeForHTML() 还是 EncodeForURL()? 我问这个的原因是,当我向某人发送一封电子邮件,其中包含一个包含电子邮件地
在一个web项目中,我们使用PHP中的OWASP ESAPI进行输出编码。在某些时候,我们希望允许 HTML 的子集用于小格式选项(例如 和 ),同时不允许所有其他标签和特殊字符(因此它们使用 &
为了防止跨站脚本 (XSS),我使用 OWASP 推荐的 ESAPI (Enterprise Security API) 。 The esapi.jar file has been included
对某些字符(在本例中为表情符号)使用 EncodeForHTML 时遇到问题 本例中的文本是:⌛️a😊b👍c😟💥🍉🍔💩🤦🏼♀️🤦🏼♀️🤦🏼♀️😘 现在如果我只是直接输
我的 JSP 中有一个 HTML 选择标记 ... ${device.name} .... 我将其设置为数据库中的设备名称 ">alert(
我需要清理 Http 参数值以防止 xss 攻击。我正在使用下面的 owasp jar 。esapi-2.1.0.1.jar 我有参数日期,其中包含以“/”分隔的值。date=20/10/2017 这
我知道,我们可以使用encodeForHTML来处理HTMl,使用encodeForJavascript来处理javaScript。我的代码中有一个跨站点脚本:“Reflected fortify s
我是一名优秀的程序员,十分优秀!