那些遇到过的问题

如何从jsp中的HTML属性中转义值以避免XSS攻击?

Sam*_*lle 9 xss jsp

在jsp页面中,我有一个输入值属性,以这种方式填充:

value="${param.name}"
Run Code Online (Sandbox Code Playgroud)

如果有人设法放置东西,它很容易受到XSS攻击

"><script>doEvil();</script>
Run Code Online (Sandbox Code Playgroud)

如何正确地逃避param.name的值来修复漏洞?

Bal*_*usC 5

使用JSTL fn:escapeXml()功能.

<%@taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>
...
<input value="${fn:escapeXml(param.name)}" />
Run Code Online (Sandbox Code Playgroud)

另一种方法是使用一个体面的MVC框架提供taglib来表示已经隐式转义XML/HTML的HTML输入元素,例如JSF和Spring MVC,这样你就不需要在所有地方重复同样的事情而担心会意外地忽略一个.

也可以看看:

  • 谢谢.我们的大多数客户端代码都在客户端,并使用ajax请求获取数据,这些请求在客户端使用适当的API进行处理,但是很久以前我们还有一些遗留的jsp尚未迁移. (2认同)

归档时间:

查看次数:

9045 次

最近记录:

12 年,3 月 前
JSP/Servlet Web应用程序中的XSS预防 67
更多相关链接
相关归档
为什么java将double转换为指数形式 5
如何将Bootstrap Modal映射到Spring MVC控制器 5
如何在spring <form:form>中保存许多对象 5
java.lang.NoSuchMethodException:java.lang.String.substring(java.lang.Long,java.lang.Long) 4
使用Spring MVC在jar文件中显示jsp页面 4
在任何范围内都找不到bean org.apache.struts.taglib.html.BEAN 4
根据单个用户的决定禁用Google跟踪代码管理器(退出) 4
如何使用 Struts2 标签 &lt;s:radio&gt; 创建带有提示的单选按钮 2
Flask jsonify:如何逃避角色 1
Handlerbars逃避输入? 0
难疑归档
使用jQuery为复选框设置"选中"? 3988
如何让Git使用我选择的编辑器进行提交? 2362
在Mac上查找(并终止)进程锁定端口3000 1595
C#的隐藏功能? 1475
确定整数平方根是否为整数的最快方法 1403
Python字符串格式:%vs. .format 1323
"无法找到或加载主类"是什么意思? 1277
Android SDK安装找不到JDK 1185
wait()和sleep()之间的区别 1158
我怎样才能用Python代表'Enum'? 1146