Las soluciones para evitar XSS en páginas JSP no funcionan

2

Tengo una página JSP en la que el título HTML se extrae de un parámetro 'GET':

<title>${title}</title>

Obviamente, esto permite ataques XSS. Si sigo la respuesta dada en esta página y pruebo las soluciones

<title><c:out value="${title}"/></title>
<title>${fn:escapeXml(title)}</title>

(al importar los taglibs respectivos), no funciona. El ataque de prueba

https://example.com/page.jsp?title=“/><script>alert(1)</script>

todavía llega a través. ¿Qué estoy haciendo mal con estas soluciones?

    
pregunta PiotrChernin 15.03.2018 - 19:41
fuente

0 respuestas

Lea otras preguntas en las etiquetas