Wenn ich in web.xml defaultHtmlEscape auf true setze, werden die in allen Eingabefeldern festgelegten Werte mit Escapezeichen versehen.
Aber wenn sie gesendet werden, werden die Werte nicht maskiert.
Stimmt es also, dass dieser Parameter nur zur Ausgabe dient und nicht die Übergabe von Parametern beinhaltet (und wenn ich also xss-safe Werte in der Datenbank speichern möchte, sollte ich etwas anderes machen)
Die HTML-Standard-Escape-Einstellung für Eingabefelder ist bereits true , so dass true das Verhalten bedeutet, das Sie standardmäßig erhalten.
Außerdem denke ich, wenn Sie xss-safe-Werte in der Datenbank speichern möchten, müssen Sie sie auf false setzen, um doppelte Entweichen zu vermeiden.
Du brauchst also etwas anderes, um beim Eingang zu entkommen, vielleicht einen Filter. Ich glaube zwar nicht, dass das Entweichen von Eingaben eine gute Idee ist, aber ein konsistentes Ausgabe-Escaping sieht zuverlässiger aus und verursacht keine Probleme bei der Verarbeitung von Daten in der Datenbank.
Ich denke, dass zu entkommen Formulareingabe , sollte einmal tun:
%Vor%Tags und Links java spring spring-mvc