プログラムは、ELなどの表現の多くを使用SSM、フォーマットとJSPページ(生産の最大の原因XSS)、使用する${pageContext.request.contextPath}ルートパスを取って、${param.xx}、URLパラメータを取っています。
この構文のページの多くの使用の場合は第三者評価は、XSSの脆弱性の多くを破りました。
ソリューション。EL式の問題を解決するために、JSTLタグライブラリCラベル使用が簡単にXSSを注入しました。
<!-- c标签输出的变量会自动转义特殊字符 -->
<c:out value="${param.xx}"/>
<c:out value="${pageContext.request.contextPath}"/>このプロジェクトは、人々の共同開発で、誰かが使用VUEのようなページのレンダリング、Iなどの機能の一部、使用jqueryのにのようないくつかの人々を達成するために異なる技術を使用することは避けられません。
データVUEをレンダリングする際に、自動的などの特殊文字、エスケープう<script>alert(1)</script>になっている<script>alert(1)</script>注意をするが、VUEプロパティの割り当て、{{}}、脱出しない:値=「 」、V字モデルページをレンダリングするためにエスケープされます。
jqueryの割り当ては、XSS、その結果、逃げられないだろう。
このようXSSフィルタを追加するなど、人気のあるオンラインの多数の方法がありますが、次のエスケープをやって、バックグラウンドでパラメータを受け取ります。
参照してください:https://www.iteye.com/blog/bijian1013-2374277
データはバックグラウンドエスケープに格納されていない場合には、少なくともエスケープを作る際にフロントエンド出力
参照してください:https://www.cnblogs.com/willingtolove/p/11059325.html