0
我目前正在開發GWT 1.7.1應用程序,該應用程序處理大量持久的用戶生成數據,因此存在惡意XSS的風險。我正在採取的防止這種情況的一個步驟是使用服務器端的org.apache.commons.lang.StringEscapeUtils.escapeHtml()(是的,我很清楚這不會阻止所有可能的XSS攻擊,如here和here所述)。 「鮑勃公司愛麗絲&放大器」和「愛麗絲&放GWT干擾XSS預防措施
,因爲它看來,GWT正在執行它自己的客戶端逃避(如服務器返回字符串這種做法導致客戶端的問題; amp; Bob Inc.「正被渲染到不正確的DOM)。這肯定是發生在客戶端,因爲來自服務器的http響應包含正確編碼的數據。我一直在瀏覽GWT的文檔,並沒有找到任何有關此功能的參考。 有沒有人知道禁用此行爲的方法?