Ho una pagina JSP in cui il titolo HTML viene estratto da un parametro GET title
:
<title>${title}</title>
Ovviamente, questo consente attacchi XSS. Se seguo la risposta fornita su questa pagina e provo le soluzioni
<title><c:out value="${title}"/></title>
<title>${fn:escapeXml(title)}</title>
(durante l'importazione dei rispettivi taglibs), non funziona. L'attacco di prova
https://example.com/page.jsp?title=“/><script>alert(1)</script>
funziona ancora. Cosa sto sbagliando con queste soluzioni?