0
는 크로스 사이트 스크립팅 문제를 해결하기 위해, 나는 특수 문자를 탈출하려면 다음 코드를 사용크로스 사이트 스크립팅 문제
<a href='/result.jsp?name=O'Neil'>O'Neil</a>
그러나 링크를 클릭하면 브라우저가 여전히 주소 표시 줄에 "/result.jsp?name=O'Neil ', 어떤 생각을 보여?
는 크로스 사이트 스크립팅 문제를 해결하기 위해, 나는 특수 문자를 탈출하려면 다음 코드를 사용크로스 사이트 스크립팅 문제
<a href='/result.jsp?name=O'Neil'>O'Neil</a>
그러나 링크를 클릭하면 브라우저가 여전히 주소 표시 줄에 "/result.jsp?name=O'Neil ', 어떤 생각을 보여?
이것은 의도적으로 설계된 동작입니다.
링크를 탐색 할 때 브라우저가 속성 값을 디코딩합니다.
그러나 여전히 URL -parameter 인코딩에이 %
또는 &
같은 문자가 경우 링크 값을 필요로한다.
SLAKs에 감사드립니다. 그러나 브라우저가 항상 디코드를한다면, 어떻게하면 크로스 사이트 스크립팅을 막을 수 있습니까? " – June
@June : 속성을 읽을 때 브라우저가 ** 값 **을 디코딩합니다. HTML 파싱을 방해하지 않으며," ">