Spring - MVC - 在重新顯示給用戶之前清理URL

Question

在我的應用程序中，儘管未通過授權，但具有腳本標記的應用程序的HTTP GET請求URL仍會重新顯示。

實施例：http://www.example.com/welcome<script>alert("hi")</script>

問題是消毒，外部輸入直接輸入到地址欄中通過修改現有GET URL。 Spring按照原樣重新顯示提交的URL。

雖然劇本沒有得到在瀏覽器（FF）執行的，反正是有顯示回給用戶之前剝離這些值的URL

參考：Spring MVC application filtering HTML in URL - Is this a security issue?

Answer 1

@Raghav ..這個鏈接可能會幫助你Spring - Rewrite one URL to another，這將談論一個庫的url重寫，這是在spring之外..但可以很容易地配置春天似乎。