如果在jsp頁面傳遞request value時,通常會在EL語法套上<c:out value="${...}"/>
或${fn:escapeXml(...)}
來防止XSS攻擊的潛在風險,也就是把html的特殊符號(e.g.&
,<
,>
,"
,'
)取代成html代碼,但如果傳遞的request值為JSONObject就無法使用<c:out>
了,因為json中的雙引號為xml跳脫字元,會被取代成html code '
目前暫時使用下面方式來規避弱點掃描軟體的檢查。
$("<div/>").html('${fn:escapeXml(json) }').text();
上面方法使用了jQuery的html()
方法來將html代碼轉回原本的符號。
如果覺得文章有幫助的話還幫忙點個Google廣告,感恩。
沒有留言:
張貼留言