防范XSS跨站

所有jsp页面输出全部使用<c:out value="{}"/> 默认就是escapeXml="true"

java中间件，<c:out />标签的功能很神奇。

1：在input=text框中输入 "/><script>alert(1);</script><input value="
2:在action中调试发现值是:"/><script>alert(1);</script><input value="
3：编辑页面回显数据是: &#034;/&gt;&lt;script&gt;alert(1);&lt;/script&gt;&lt;input value=&#034;
4:编辑保存数据，传到后台的是："/><script>alert(1);</script><input value="
而不是 &#034;/&gt;&lt;script&gt;alert(1);&lt;/script&gt;&lt;input value=&#034;
5:数据库中是"/><script>alert(1);</script><input value="
6:所以使用c:out来做开发可以有效的避免XSS