<%
String ans = "";
ans = SpecialCharacter.getEscapeString((String)request.getAttribute("ans"));
%>
<input type="text" class="txt long" name="ans" id="ans" maxlength="48" value="${ans}"/>
我有类似上面的代码,并且我已经在使用模板文字来替代值,但是veracode扫描仍然向我表明它很容易受到xss攻击。在这种情况下该如何解决?
答案 0 :(得分:0)
使用OWASP Java Encoder使用<input type="text" class="txt long" name="ans" id="ans" maxlength="48" value="<%= Encode.forHtmlAttribute(ans)%>" />