Je suis actuellement en train de développer une application GWT 1.7.1 qui traite une quantité importante de données persistantes générées par l'utilisateur, donc il y a un risque de XSS malveillant. Une des mesures que je prends pour éviter cela est d'utiliser org.apache.commons.lang.StringEscapeUtils.escapeHtml() côté serveur (Oui, je suis bien conscient que cela n'empêchera pas toutes les attaques XSS possibles comme mentionné here et here).GWT interférant avec les mesures préventives XSS
Cette approche est à l'origine d'un problème côté client, car il semble que GWT exécute ses propres échapper (par exemple côté client Le serveur renvoie la chaîne « Alice & amp; Bob Inc. » et « Alice & ampli ; amp; Bob Inc. "est rendu au DOM qui est incorrect). Cela se passe définitivement côté client car la réponse http du serveur contient les données correctement codées. J'ai parcouru la documentation pour GWT et n'ai trouvé aucune référence à cette fonctionnalité. Est-ce que quelqu'un est au courant d'un moyen de désactiver ce comportement?