我希望在我的应用程序中添加一些严格的跨脚本规则,这些规则基于Spring。我将推荐的html“defaultHtmlEscape”添加为true并使用了标签,但仍有一些我们想要阻止的事情。我决定使用https://www.owasp.org/index.php/OWASP_Java_HTML_Sanitizer_Project中的java html清理程序。这将要求我在每次读取参数的地方调用清理功能,这在很多地方都会发生变化。我能做到这一点的中心位置吗?也许,一个通过它解析所有参数的类?我看到在Spring内部使用NamedParameterUtils来解析参数。有没有办法扩展它?
在Spring框架中有没有其他方法可以做到这一点?
非常感谢任何指针。
感谢,
阿沙
答案 0 :(得分:0)
讨厌回答我自己的问题。您可以在Spring中添加过滤器类,并让参数通过它们。更多信息请访问:“过滤方式”部分中的http://jeevanpatil.wordpress.com/2011/07/22/prevention_of_xss/。