点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

尊敬的专家等。 等，

我们有一家公司为我们进行安全审核，我们意识到我们容易受到某些微妙形式的XSS的攻击，例如：

 " onfocus =" alert（document.cookie）
  searchterms = test％22％20onmouseover =％22alertt（）％22％3E％3Ca =％22
  searchterms = test"％3E％3Cimg src= x onerror =" alert（）" a ="

  

我们依靠XSSFilter，但是这种方法意味着拥有黑名单，并且黑名单很快就会老化。 我们知道建议的方法是使用像Akamai这样的WAF，但是尽管如此，我们仍然认为我们需要在所有级别提供安全性。 这是我们正在做的：

首先，它们仍然依赖XSSFilter，但我们还使用以下方式对上下文进行HTML编码以反映输入内容：

  org.springframework.web.util.HtmlUtils.htmlEscape（）

  

此方法可避免转义双引号，单引号和其他一些可能有问题的字符。 我们现在遇到的问题是Solr。 进行此更改后，我们将找不到描述带有特殊字符的产品，例如ü。

这里的问题是，是否可以以与HTML转义的文本一起使用的方式配置Solr？

亲切的问候，

L。