我目前正在开发GWT 1.7.1应用程序,该应用程序处理大量持久的用户生成数据,因此存在恶意XSS的风险。我正在采取的防止这种情况的一个步骤是使用服务器端的org.apache.commons.lang.StringEscapeUtils.escapeHtml()(是的,我很清楚这不会阻止所有可能的XSS攻击,如here和here所述)。 “鲍勃公司爱丽丝&放大器”和“爱丽丝&放GWT干扰XSS预防措施
,因为它看来,GWT正在执行它自己的客户端逃避(如服务器返回字符串这种做法导致客户端的问题; amp; Bob Inc.“正被渲染到不正确的DOM)。这肯定是发生在客户端,因为来自服务器的http响应包含正确编码的数据。我一直在浏览GWT的文档,并没有找到任何有关此功能的参考。 有没有人知道禁用此行为的方法?