我继承了一个包含1000多个JSP文件的大型代码库,其中充满了XSS漏洞。
代码中充满了
我想要保护所有文件,而不必逐个文件进行操作。
我的最佳方法是什么?
代码中充满了
标签。
<%= request.getParameter("theparam")%>
并且
out.println("some stuff before"+request.getParameter("theparam")+"and some other stuff");
并且
String myVar = request.getParameter("theparam");
out.println(myVar);
我想要保护所有文件,而不必逐个文件进行操作。
我的最佳方法是什么?
在所有源文件中对“request.getParameter(“xx”)”执行“全部替换”操作,将其替换为“StringEscapeUtils.escapeHtml(request.getParameter(“xx”))”?
我能否以某种方式覆盖函数“request.getParameter”,使其默认为stringescapeutils.escapehtml(request.getParameter(“”))?