作者:臭小子 | 2023-08-31 15:45
1> Slartibartfa..:
简短回答:
还有另一种选择:
<%@taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
${fn:escapeXml(myString)}
要小心,因为转义XML和HTML之间存在差异.
是的,着名的可怕的`'`:*字符实体引用<,>," 和& 在HTML和SGML中预定义,因为<,>,"和&已经用于分隔标记.这显然不包括XML的'(')实体.有关所有命名的HTML字符实体引用的列表,请参阅XML列表和HTML字符实体引用(大约250个条目).* - 来自维基百科:http://en.wikipedia.org/wiki/Character_encodings_in_HTML
请注意,这不会阻止所有XSS漏洞!如果你有`var show = $ {fn:escapeXml(show)}`你不需要`<`或```来利用它!
京公网安备 11010802040832号