Existe-t-il une contrepartie Java pour la prévention XSS d'Aspnet 4 <%: %>?

Je suis développeur en passant de C# à Java. Entendu parler de la nouvelle fonctionnalité nette ASP. <%:%>. Il rend l'objet avec un encodage html. Seules ces interfaces IHtmlString impolimentantes ne sont pas codées (pour éviter le double encodage). En voir plus dans http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and-asp-net-mvc-2.aspx Existe-t-il une contrepartie Java pour la prévention XSS d'Aspnet 4 <%: %>?

Est-ce qu'un outil si mignon dans le côté de Java? Je veux dire un moyen de sortir une chaîne de caractères vers une page Web et de ne pas l'encoder en fonction de son type.

Source

2010-04-09 Tomas Tintera

Au meilleur.. de ma connaissance, il n'y a rien dans java qui fait cela.Vous pouvez créer votre propre taglib pour mettre en œuvre une telle chose cependant

Source

2010-04-12 02:33:28

Pas tout à fait sûr que c'est ce dont vous avez besoin, mais nous utilisons c:out dans nos JSP dans un but similaire. Voir ici: http://java.sun.com/products/jsp/jstl/1.1/docs/tlddocs/c/out.html

Via escapeXml vous pouvez spécifier si les caractères <,>, &, ', » dans la chaîne résultante doit être convertie en leurs codes d'entité de caractères correspondant valeur par défaut est true

Source

2010-04-09 09:26:37 mindas

Ce n'est pas ce que je veux, c'est important pour moi où la décision de coder (pas) HTML est faite Dans c: out c'est dans la page, devrait être décidé par le type d'informations rendues. –

Existe-t-il une contrepartie Java pour la prévention XSS d'Aspnet 4 <%: %>?

Répondre

Questions connexes