Пример кода Apple для обновления фона WatchKit

В XSS нет простого решения из коробки. API OWASP ESAPI поддерживает некоторую поддержку, которая очень полезна, и у них есть библиотеки тегов.

Мой подход состоял в основном в расширении тегов stuts 2 следующими способами.

1. Измените s: тег свойства, чтобы он мог принимать дополнительные атрибуты, указывающие, какого рода экранирование требуется (escapeHtmlAttribute = "true" и т. д.). Это предполагает создание новых классов Property и PropertyTag. Класс свойства использует OWASP ESAPI api для экранирования.
2. Измените шаблоны freemarker, чтобы использовать новую версию свойства s: и установите escape-код.

Если вы не использовали ' t хотите изменить классы на шаге 1, другим подходом было бы импортировать теги ESAPI в шаблоны freemarker и, при необходимости, бежать. Затем, если вам нужно использовать как: тег свойства в вашем JSP, оберните его и тегом ESAPI.

Я написал более подробное объяснение здесь.

http: / /www.nutshellsoftware.org/software/securing-struts-2-using-esapi-part-1-securing-outputs/

Я согласен с тем, что выходные данные не идеальны.