什麼是在JSP頁面上強制執行HTML編碼的最佳方式，特別是在直接從Web瀏覽器URL調用時的最佳方式

Question

我正在使用spring 3.1.1。我正在嘗試對傳入的請求參數進行HTML編碼。對我的JSP頁面的調用可以由用戶通過命令行工具或Web瀏覽器傳遞URL來手動完成。

讓我們假設我有一個請求參數如下請求作爲語言 http://localhost:8080/testdomain/createaccount.do?language=eng

我想HTML編碼「語言」請求參數。我已經將web.xml中的上下文參數設置爲html編碼。

<context-param> 
    <param-name>defaultHtmlEscape</param-name> 
    <param-value>true</param-value> 
</context-param> 

問題

1. 在web.xml中指定defaultHtmlEscape不越獄的請求參數的HTML元素。似乎沒有工作？任何關於如何使這項工作的建議？

2. 如果我在控制器內部調用下面的內容？這將甚至有助於解析必須已經完成？

   HtmlUtils.htmlEscape（用request.getParameter（語言））」

3. 在該頁面的特定彈性控制，我該如何確保讀取請求參數之前，HTML編碼？

4. 我想明白的地方，我可以在應用程序級別，並在頁面/控制器級別強制執行HTML編碼選項

Answer 1

該網站的描述符屬性將只適用於Spring標籤使用：？

<form:input path="/my/path" htmlEscape="true" /> 

使用HtmlUtils.htmlEscape

您需要的時候請確保您免受XSS保護僅僅是一個@RestController

從最好的網址讀取參數使用@RequestParam

public @ResponseBody String myRequest(@RequestParam("language") String language) { 
    System.out.println("Language is: "+ language); 
} 

檢查https://spring.io/guides/gs/rest-service/