Play- 1.2.4 xss 自动转义问题
Posted
技术标签:
【中文标题】Play- 1.2.4 xss 自动转义问题【英文标题】:Play- 1.2.4 xss automatic escape issue 【发布时间】:2014-06-06 07:41:41 【问题描述】:在 URL(http://www.playframework.com/documentation/1.1.1/security#xss) 中提到,在播放版本 1.0.1 发布后,字符串会自动转义,但在我当前版本的 Play 1.2.4 中不是这种情况。 请提出这里可能不正确的地方?
【问题讨论】:
"然而事实并非如此" 【参考方案1】:我过去也遇到过同样的事情,但这种情况只出现在标签上。
我的意思是,在模板上使用时,它会自动转义 html(用于防止 XSS),但在标签中则不会。而且我必须在所有标签中声明$someVar?.escape().raw()
。
【讨论】:
以上是关于Play- 1.2.4 xss 自动转义问题的主要内容,如果未能解决你的问题,请参考以下文章