通常我使用veracode掃描我的代碼更改以檢測安全漏洞。現在有在DB串,我在一個叫custFunctionality
串正在收集和以前我是在JSP作爲顯示此:如何避免在這個c:中出現XSS?
out.println(<%= custFunctionality %>);
好Veracode的掃描,它讓我知道,它構成了一個安全缺陷。
所以我用c: out
這裏:
<c:out escapexml='false' value='${custFunctionality }'/>
現在,這裏的問題是,該字符串包含HTML標記相關的起來,我需要在頁面中,如果我不給顯示特殊字符這些字符和標記不會實現。但是,由於代碼中存在escapexml='false'
字符串,這構成了veracode的安全缺陷,因爲我在重新掃描文件後發現它存在。
任何人都可以建議我一個替代解決方案出這個泥??
任何解決方案的人? –
「字符串由html相關的標記和特殊字符組成」 - 您能否澄清一下,如果您需要瀏覽器將這些HTML瀏覽器解釋爲HTML頁面的一部分或僅以視覺方式向用戶顯示? – u2702
@ u2702:將以可視方式顯示給用戶,有時也會作爲html頁面的一部分顯示給用戶。 –