在研究了一下spring标签之后,似乎数据绑定发生在框架代码中,因此阻止了您在jsp中应用任何转义。
第一种,半速赢可能是默认所有输出都转义为HTML。在web.xml中添加以下条目:
<context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-value></context-param>
这里唯一的问题是输出转义是一个大难题……当将值作为数据传递给HTML属性或Javascript函数时,html转义的规则是不同的。在应用程序的某些部分,您可能不想对HTML进行转义,但是您应该能够
htmlEscape="false"在需要时使用form
tag属性覆盖这些部分。
您需要的是能够将Spring标记的一部分钩到将HTML绑定到表单的位置,但是您需要能够做到这一点,以便可以根据其放置位置进行转义。与纯HTML相比,HTMLAttribute的转义规则有所不同,并且该值将作为数据传递到javascript函数。因此,Spring的解决方案只能防御一类攻击。
这些是我所看到的唯一出路,所有这些都需要工作:
- 使用JSTL标记而不是Spring标记,因此您可以使用编写变量
${thisSyntax}并将其包装在esapi标记中,如下所示:
<c:out value="<esapi:enpreForHTML>${variable}</esapi:enpreForHTML>"/>遵循@A之类的解决方案。Paul提出了,您在哪里进行上下文回溯到控制器端。我知道您觉得这不是一个选择,但是我提出的下一个解决方案未经测试。
实现自己的子库
[org.springframework.web.servlet.tags.form.InputTag][1]
,特别是方法的子类writevalue
。尽管esapi可以防止很多情况,但我还是建议您查看owasp的新Enprer项目,以向您确切显示输出编码的技巧。理想情况下,您的标签库将允许您使用esapi的编码器或此新API。
