Hola,
Lo primero lo siento si no tengo claro los conceptos, me estoy metiendo ahora con estos temas.
Suponiendo que se insertan los campos de un formulario en bbdd y estos no han sido validados, por lo que en uno de los campos existe una etiqueta <script>codigo js que sea</script>.
Yo lo que quiero ahora es que cuando el usuario lo solicite se devuelvan esos datos pero que los campos que contengan etiquetas html o de script no puedan ser ejecutados, evitando así xss.
Según he leído se tienen que codificar a html todos los datos de salida que se pintan en la jsp, dejando la supuesta etiqueta <script>codigo js que sea</script> de dicho campo como <script>codigo js que sea</script> y de esta forma no es ejecutable desde el navegador.
Estoy usando spring mvc y he leído en varios sitios que añadiendo en el web.xml lo siguiente,
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
Se puede codificar a html de manera global todos los parámetros que se pintan en las jsp. Pero no logro hacer que las etiquetas del tipo <script> se muestren como <script>
¿Como puedo codificar a html los parámetros que se pintan en las jsp para evitar xss?
Cuento con que se tienen que realizar validaciones antes de insertar en BBDD pero es un ejemplo.
Espero que me puedan ayudar.
Un saludo.
