在Struts 2中使$ {}运算符XSS安全(与挂毯相同)

在Struts 2中使$ {}运算符XSS安全(与挂毯相同),第1张

在Struts 2中使$ {}运算符XSS安全(与挂毯相同)
  1. *
    <s:property value="name" />
    默认情况下,
    *Struts2
    自动转义
  2. JSTL
    <c:out value="${name}" />
    默认情况下自动转义;
  3. JSP EL
    ${name}
    不会转义。

您可以使用显式地对其进行转义

${fn:escapeXml(name)}
,或将转义设置为默认情况下执行,如这篇很棒的文章中所述,创建自定义ELResolver:

  • ELResolver转义JSP EL值以防止跨站点脚本编写


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zaji/5153689.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-11-18
下一篇 2022-11-18

发表评论

登录后才能评论

评论列表(0条)

保存