SsoUi 3.4.0 [*] fix: Уязвимость: внедрение js-кода в параметр fwdat
Мне кажется нерациональным внедрением еще одной библиотеки (~500кб) только из-за одной функции StringEscapeUtils.escapeHtml3
Можно например заменить на использование JSTL <%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
${fn:escapeXml(ssoUiTitle)}
или для экранирования JS можно сделать простую замену
{"\"", """}, // " - double-quote {"&", "&"}, // & - ampersand {"<", "<"}, // < - less-than {">", ">"}, // > - greater-than
Log in to post a comment.
SsoUi 3.4.0
[*] fix: Уязвимость: внедрение js-кода в параметр fwdat
Мне кажется нерациональным внедрением еще одной библиотеки (~500кб) только из-за одной функции StringEscapeUtils.escapeHtml3
Можно например заменить на использование JSTL
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
${fn:escapeXml(ssoUiTitle)}
или для экранирования JS можно сделать простую замену
{"\"", """}, // " - double-quote {"&", "&"}, // & - ampersand {"<", "<"}, // < - less-than {">", ">"}, // > - greater-thanLast edit: Max touch 2018-11-20