代码之家  ›  专栏  ›  技术社区  ›  Kevin Loney

GWT干扰XSS预防措施

xss gwt
  •  0
  • Kevin Loney  · 技术社区  · 15 年前

    org.apache.commons.lang.StringEscapeUtils.escapeHtml() here here

    这种方法会导致客户端问题,因为GWT似乎正在执行自己的客户端转义(例如,服务器返回字符串) 爱丽斯;amp;鲍勃公司。 爱丽斯;amp;amp;鲍勃公司。 正在呈现给DOM,这是不正确的)。这肯定是在客户端发生的,因为来自服务器的http响应包含正确编码的数据。我已经阅读了GWT的文档,没有找到任何关于此功能的参考。

    1 回复  |  直到 7 年前
        1
  •  1
  •   salk31    15 年前

    如何将服务器返回的值添加到页面?您是否可以将at添加为文本?如果您确定字符串是安全的,您可以将其添加为HTML(通常有一个HTML选项)或特定的小部件,如HTML。

    顺便说一句,通常最好不要从服务器返回HTML编码的值,因为您不知道如何使用它们。我使用的规则是,在最后一分钟之前(添加到文档中等),保持值的干净格式。

    推荐文章
    Community wiki  ·  谷歌番石榴单例事件总线多次触发
    1 年前
    leeyuiwah  ·  在GWT 2.8.2和Java 1.8中使用传统的开发模式?
    6 年前
    Toto  ·  GWT 2.5.1+源映射(超级开发模式)-局部变量评估
    6 年前
    el Jeffe  ·  将GAE项目迁移到Java 8-将运行时属性添加到appengine web后出现get-XML验证错误。xml
    6 年前
    Anish Sana  ·  JSNI-万美元。地方assign()未立即触发
    6 年前
    Eldy  ·  在哪里使用该标志通知GWT以避免混淆Javascript?
    7 年前
    user3689186  ·  GWT和Java EE SessionScoped bean未持久化
    7 年前
    quarks  ·  使用GWT创建ISO 8601日期字符串
    7 年前
    quarks  ·  Java语言lang.NoSuchFieldError:运行JUnit测试时边缘
    7 年前
    boukaibat yassine  ·  java-如何将project从gwt 2.5.0升级到gwt 2.8.2
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号