我有一个用例,我有一个文本输入字段,它接受URL并保存它。 保存的URL用于jsp文件
<script type="text/javascript">
var defaultSimulatorUrl = '<%= defaultSimulatorUrl %>';
</script>
变量defaultSimulatorUrl用于显示预填充文本输入字段
某些攻击者可以通过发送 http://abcxyz.com?a=b&c=d' ;;alert(1); //
脚本内容将转换为
<script type="text/javascript">
var defaultSimulatorUrl = 'http://abcxyz.com?a=b&c=d';alert(1);//';
</script>
我的问题是如果我使用 com.adobe.granite.xss.XSSAPI.encodeForHTML()对此Url进行编码,我如何在输入字段中显示orignal url
或者我可以通过其他方式对其进行编码,以便在预填充文本输入字段中使用
XSSAPI不提供api来解码字符串
答案 0 :(得分:0)
我使用了XSSAPI的encodeForJS方法解决了我的问题