У меня есть сборка веб-приложения на Struts 1.3 и JSP. В одном из утверждений я использовал тег bean: message, как показано ниже:
<bean:message key="<%=ID_TITLE%>" arg0="<%=(String)request.getParameter(UIConstants.ID)%>" />
Теперь, если значение идентификатора в запросе равно <style>alert("XSS")</style>, тогда оно фактически выдает окно с предупреждением.
ТАК, как избежать html в случае тега bean: message?