0

我正在尝试在我的项目中添加所有 XSS 验证,我已在 Web.xml 中的参数验证过滤器下方添加

<filter>
  <filter-name>ParameterValidationFilter</filter-name>
  <filter-class>com.matthewcasperson.validation.filter.ParameterValidationFilter</filter-class>
  <init-param>
    <param-name>configFile</param-name>
    <param-value>/WEB-INF/xml/pvf.xml</param-value>
  </init-param> 
</filter>
<filter-mapping>
  <filter-name>ParameterValidationFilter</filter-name>
  <url-pattern>*.jsp</url-pattern>
</filter-mapping>

我还需要在我的项目中添加 HTML Sanitizer 吗?

4

1 回答 1

0

我知道这是很老的查询.. 但我想回答一下.. 消毒剂基本上是用来清理输入的,但通常只有在不影响结果时才对输入进行消毒,所以参数验证过滤器提供默认值仅删除空格的消毒,我认为您不需要使用其他任何东西。

但这仍然取决于项目,我通常不建议进行消毒

于 2018-06-10T11:47:47.270 回答