`
123003473
  • 浏览: 1060002 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

jsp el 和xss

 
阅读更多
jsp 2.0中的 ${todo.description}是不能防止xss的,如果输入脚本就可能导致xss攻击。
解决方法:
这种表达式只能用作tag的属性,而不能显示,
使用<c:out value="${todo.description}"/>就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)}
如果想不escape,使用<c:out value="${todo.description}" escapeXml="false"/>


<script>alert(1);</script>
分享到:
评论

相关推荐

    JSTL,EL表达式语法简介

    JSTL的核心是与Java Expression Language(EL)紧密集成,EL则是一个用于在JSP页面中获取和操作数据的简洁表达式语言。 **EL(Expression Language)**是Java Servlet 2.4及更高版本中引入的一种轻量级脚本语言。它...

    JSP中的EL表达式详细介绍

    然而,为了提高代码的可读性和维护性,JSP引入了Expression Language(EL表达式),这是一种简洁的语法,用于简化数据访问和对象调用。 EL表达式是JSP 2.0及更高版本中的核心特性,它的主要目标是简化页面上的数据...

    JSP JSTL EL表达式中FN函数使用帮助

    其中,EL(Expression Language)表达式是JSP 2.0引入的一种轻量级脚本语言,用于访问JavaBeans属性和执行基本操作。FN函数是JSTL提供的一个功能强大的工具,包含在`javax.servlet.jsp.jstl.fn`包下,提供了一系列...

    EL表达式练习 EL表达式练习

    EL(Expression Language,表达式语言)是JavaServer Pages(JSP)2.0及更高版本中的一个重要组成部分,它提供了一种简洁、强大的方式来访问JavaBean属性和表达式求值。EL表达式主要用于简化JSP页面中的代码,提高...

    el使用注意事项

    在IT行业中,EL(Expression Language)是JavaServer Pages (JSP) 技术的一个重要组成部分,用于简化在JSP页面中访问JavaBean属性和其他上下文数据。本文将深入探讨EL的使用注意事项,以及如何结合相关工具,如JSTL...

    jstl chm pdf 中文 el表达式

    **JSTL(JavaServer Pages Standard Tag Library...通过阅读这些资源,开发者可以全面掌握JSTL和EL的使用方法,提高JSP开发效率,提升项目质量。在实际工作中,结合JSTL和EL,可以编写出更高效、更易于维护的JSP页面。

    jsp论坛短消息-Java

    通过使用JSP标签库(如JSTL)和EL(Expression Language)来简化页面的编写,例如,使用`&lt;c:forEach&gt;`遍历列表数据,`&lt;c:if&gt;`进行条件判断,以及`&lt;fmt:formatDate&gt;`格式化日期等。 5. **会话管理**:短消息系统中的...

    jsp网页设计小实例

    EL简化了从JSP页面获取和设置JavaBean属性的操作,而JSTL提供了一系列标准标签,如数据库操作、XML处理等,以减少脚本代码,提高可读性和维护性。在本实例中,你可能会看到如何使用EL表达式和JSTL标签实现动态内容...

    网上物流管理系统的设计与实现 (Servlet+Jsp+JavaBean).zip

    本项目采用Java Web技术栈,包括Servlet、JSP和JavaBean,结合MySQL数据库,旨在构建一个网上物流管理系统,以实现对物流信息的便捷管理和跟踪。下面将详细介绍该项目的核心技术和实施要点。 1. **Servlet框架**:...

    使用JSP处理用户注册和登陆

    总的来说,掌握使用JSP处理用户注册和登录的能力,不仅有助于构建功能完善的Web应用,还能加深对Web开发流程和服务器端编程的理解。在实际项目中,还需要考虑更多的安全措施,如加密密码、防止SQL注入、XSS攻击等,...

    jsp Expression Language

    在JSP页面中,EL可以替代一些传统的JSP脚本元素,如`&lt;%= %&gt;`,提高代码可读性和维护性。例如,`() %&gt;`可以改写为`${user.name}`。 **5. EL的函数库** EL支持使用自定义和预定义的函数库。预定义的函数库包括JSTL...

    《JSP2.0技术手册》

    4. **安全性考量**:学习防止SQL注入、XSS攻击等安全问题的方法,确保JSP应用的安全性。 总之,《JSP 2.0技术手册》是一本全面介绍JSP 2.0技术的教材,适合初学者逐步学习并掌握这一强大的Web开发工具。通过深入...

    jsp案例精编 jsp案例精编

    4. EL(Expression Language)和JSTL(JavaServer Pages Standard Tag Library):EL简化了在JSP中访问JavaBean属性的过程,而JSTL提供了一系列标准标签,如用于数据库操作的SQL标签库,用于XML处理的XML标签库等。...

    EL表达式和Jstl详细教程

    EL(Expression Language,表达式语言)是Java服务器页面(JSP)技术的一部分,它提供了一种简洁的方式来访问JavaBean属性和表达式中的其他对象。EL表达式通常用于在JSP页面中获取数据、执行简单的运算以及调用方法...

    jsp博客 jsp博客源码

    EL简化了JSP中的数据获取和设置,可以用来访问请求、会话、应用范围内的对象属性。 5. **JSTL(JavaServer Pages Standard Tag Library)** JSTL是一组标准的标签库,包括核心标签、SQL标签、XML标签、函数标签等...

    JSP应用开发详解第三版源代码(整理版)B

    4. **EL(Expression Language)和JSTL(JavaServer Pages Standard Tag Library)**:EL简化了数据访问,而JSTL提供了一系列标准标签,使得JSP页面更加简洁、可读性更强。源代码中可能包含了如何使用EL表达式和JSTL...

    XSS跨站脚本攻击在Java开发中防范的方法

    - `login.jsp`和`doadmin.jsp`处理用户提交的数据时,没有足够的输入验证和过滤措施,可能会导致XSS或其他类型的安全漏洞。 - **防范措施建议**: - 在显示用户数据前,应使用HTML实体编码函数对数据进行转义处理...

    《JSP从入门到精通》

    4. **EL(Expression Language)**:EL是一种简洁的表达式语言,用于从JSP页面中获取和设置JavaBean属性,简化了数据访问。 5. **Servlet与JSP的关系**:JSP最终会被编译为Servlet,了解这个转换过程对于优化JSP...

    EL表达式详解教程.zip

    EL(Expression Language,表达式语言)是Java EE中一种强大的模板语言,主要用于在JSP页面中简化数据访问和处理。它允许开发者通过简洁的语法来访问JavaBeans中的属性,执行基本算术运算,以及调用方法。EL表达式与...

    jsp高级编程(适合高级用户使用)

    EL是用于获取和操作JavaBean属性的简洁表达式语言,而JSTL提供了一系列标准标签,简化了JSP的开发。在高级编程中,掌握EL和JSTL能极大提高开发效率,减少Java代码的嵌入,使得JSP页面更加清晰易读。我们将学习EL的...

Global site tag (gtag.js) - Google Analytics