xss脚本注入后端的防护

1.脚本注入最主要的是不要相信用户输入的任何数据,对数据进行转义

可以使用:org.springframework.web.util.HtmlUtils包中的

HtmlUtils.htmlEscape(String str)

@org.junit.Test
public void test(){
String str = "'><script>alert(document.cookie)</script>\n" +
                "='><script>alert(document.cookie)</script>\n" +
                "<script>alert(document.cookie)</script>\n" +
                "<script>alert(vulnerable)</script>\n";
        str =  HtmlUtils.htmlEscape(str);
        System.out.println(str);
    }
输出结果:

'><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>