0
broswerに送信されたすべての送信コンテンツをエスケープしたいと思います。残念ながら、この段階でタグを追加してjspを変更することはできません。私は変更可能なインターセプターを持っています。しかし、最後のインターセプタが実行されたときに、結果がまだ生成されていないので、どのように結果を保持できるのか分かりません。Struts 2 - XSS関連の質問
私はコンテンツをエスケープできるように、ブラウザに送り返されたコンテンツを保持するためにとにかにありますか?それはインターセプターである必要はありません、私が望むのは、すべての発信コンテンツで実行するためにこの「エスケープ」コードを入れることです。
JSPを変更することができない場合は、カスタムパラメータインターセプタで受信した文字列パラメータをエスケープできます。私は、JSP出力がレンダリングされた後に確実にフィールドをエスケープする方法がわかりません。 –
簡単な方法はありません。すべてのコンテンツを徹底的にエスケープする必要があります。可能な複製のhttp://stackoverflow.com/questions/3638619/prevent-xss-attacks-sitewide –