我已经能够通过在 bean:write 消息中结合使用 filter="true" 以及在我正在使用的标签库中使用 StringEscapeUtils.escapeHtml4(string) 来防止 struts 1.2 中的 XSS 攻击。但是,我可以通过以下形式的 URL 中的攻击来攻击我的网站...
www.mysite.com/App/Start.do?logo=mylogo'><script>alert("ATTACK")</script>
有关防止这种情况的最佳方法的任何建议。我尝试使用 servlet 过滤器,但我不想将所有请求输入转换为特殊字符。