漏洞: 一般会发生在参数类型为字符串,并且参数值将会回显到页面上.
使用: commons-lang3-3.1.jar
导入: import org.apache.commons.lang3.StringEscapeUtils;
在程序中变量回显前转义, var_name = StringEscapeUtils.escapeHtml3(var_name);
使用: commons-lang3-3.1.jar
导入: import org.apache.commons.lang3.StringEscapeUtils;
在程序中变量回显前转义, var_name = StringEscapeUtils.escapeHtml3(var_name);