StringEscapeUtils调用和JSP提交值问题

Question

我从JSP文件中传递了一些带有值的参数，在此之前，我使用Apache来避免使用param值执行任何StringEscapeUtils攻击脚本

例如，如果有人像这样插入值并获得访问权限

当像这样的东西作为值传递时，跨脚本测试当前失败

site_locale=en_US%2F%3E%3Ciframe+src%3Djavascript%3Aalert%28116%29+

当这样的测试通过时，盲目SQL注入测试当前会失败

isMgr=true%27+and+%27f%27%3D%27f%27%29+--+  

我这里的问题是，StringEscapeUtils.escapeHtml是否会从上面传递的参数值类型中保存下来，或者我是否需要其他库

我还想确认一下在JSP语言中调用StringEscapeUtils的方式是否正确

<input type="hidden" name="site_locale" value= <%= StringEscapeUtils.escapeHtml(site_locale) %> >

感谢这里的任何指点

谢谢

Answer 1

尝尝这个。

用于HTML表单编码的实用程序类

URLEncoder.encode(yoururlhere, "UTF-8")

类似地，我们有

java.net.URLDecoder.decode(yoururlhere, "UTF-8");