Play- 1.2.4 xss 自动转义问题

Posted

技术标签:

【中文标题】Play- 1.2.4 xss 自动转义问题【英文标题】:Play- 1.2.4 xss automatic escape issue 【发布时间】:2014-06-06 07:41:41 【问题描述】:

在 URL(http://www.playframework.com/documentation/1.1.1/security#xss) 中提到,在播放版本 1.0.1 发布后,字符串会自动转义,但在我当前版本的 Play 1.2.4 中不是这种情况。 请提出这里可能不正确的地方?

【问题讨论】:

"然而事实并非如此" 【参考方案1】:

我过去也遇到过同样的事情,但这种情况只出现在标签上。

我的意思是,在模板上使用时,它会自动转义 html(用于防止 XSS),但在标签中则不会。而且我必须在所有标签中声明$someVar?.escape().raw()

【讨论】:

以上是关于Play- 1.2.4 xss 自动转义问题的主要内容,如果未能解决你的问题,请参考以下文章

玩 1.2.4 自动提交

表单提交 防注入XSS 1入库时转义后台 2出库转义前台

防止XSS注入的方法

Django过滤xss攻击

宽字节XSS跨站攻击

宽字节XSS跨站攻击