我继承了一个包含 1000 多个 JSP 文件的大型代码库,其中充满了 XSS 漏洞。
代码充满
<%= request.getParameter("theparam")%>
和
out.println("some stuff before"+request.getParameter("theparam")+"and some other stuff");
和
String myVar = request.getParameter("theparam");
out.println(myVar);
我想保护所有文件,而不必单独检查所有文件。
我最好的方法是什么?
对所有源文件执行“request.getParameter("xx")" 到 "StringEscapeUtils.escapeHtml(request.getParameter("xx")) 的“全部替换”?
我可以以某种方式覆盖函数'request.getParameter',因此它默认为 stringescapeutils.escapehtml(request.getParameter("")); ?
谢谢