早期struts2中使用JSTL标签的bug

最新推荐文章于 2019-03-20 11:26:00 发布
最新推荐文章于 2019-03-20 11:26:00 发布
阅读量121 收藏
点赞数
分类专栏: 技术点滴 文章标签: JSP

struts2已经集成了jsp标准的 JSTL标签用法,比如:

Action里面定义的变量private int sellerUin;,除了<s:property>标签外,还可以使用如下jstl来输出到页面上:

 ${sellerUin}

 

struts2会自动对http请求参数做类型转换。请求参数sellerUin=123会正常处理,而请求参数sellerUin=abc则会抛出参数转换错误,返回到"input"这个result上。

 

 

但是,在2.0.9这个版本的struts2中, 传参数sellerUin=abc,只要不是通过<s:property>去获取selleruin的值,这个参数就不会被正常的校验参数类型!也就是说,使用${sellerUin} 一样会在页面上返回abc,而不会抛出参数类型错误。

于是在后台被定义为int,long类型的参数,肯定不会做xss校验。而一旦被人识破并利用${} jstl标签输出,就会对返回页面进行xss注入。

 

经过测试,这个问题在2.0.14版本已经得到修复。

 

 

宋玮-深圳
关注
专栏目录
遇到bug怎么分析,这篇文章值得一看
fx20211108的博客
05-06 638
为什么定位问题如此重要? 可以明确一个问题是不是真的“bug” 很多时候,我们找到了问题的原因,结果发现这根本不是bug。原因明确,误报就会降低 多个系统交互,可以明确指出是哪个系统的缺陷,防止“踢皮球”,提高问题解决的效率 增强开发对测试的信任度,沟通更有效,配合的更好,开发修改bug时效增强 更有效的了解系统的内部逻辑、数据流处理流程,更能提高测试人员的水平,缺陷修复后,影响的测试范围评估更精准,复测更准确 可以降低缺陷率 这个可以说是最重要的。在bug系统,会要求开发人员记录bug产生
struts2.3.8+spring3.2.1+hibernate4.2.0整合jar包
03-06
整合这三个框架,开发者可以在Struts2定义Action类,Spring则负责管理Action类的生命周期,通过依赖注入提供服务,而Hibernate则处理数据库交互。例如,当用户发送一个请求到服务器,Struts2会处理这个请求并调用...
Struts2JSTL标签不起作用解决办法
wytkings的专栏
06-13 179
1.设置整个项目使用el表达式,需要在web.xml加上 (控制一个项目) < jsp-config > < jsp-property-group > < el-ignored >false < / el-ignored > < /jsp-property-group > < / jsp-config > 2.设置某个jsp页面使用el表达式,需要在jsp页面加上(控...
struts2标签jstl混合使用
smithdoudou88的专栏
03-19 1784
1.以前一直使用jstl标签,后来也开始使用struts2的一些标签,毕竟struts2的有些标签使用起来还是比较方便  项目常常会出现struts2标签jstl标签混和用的情况,比如在自定义标签或者在循环标签等  1.在jstl使用struts2  Java代码   "ee" items="${requestScope.serviceList}" >     
Bug记录:JSTL
Bran_Wang12306的博客
03-20 222
1、According to TLD or attribute directive in tag file, attribute [items] does not accept any expressions 解决方法: 加上: <%@ page isELIgnored="false" %> 2、org.apache.jasper.JasperException: 如果...
JSTL 遇到的一个蛋疼的Bug
weixin_33935777的博客
03-26 91
2019独角兽企业重金招聘Python工程师标准>>> ...
Struts2使用JSTL在前台取不到后台的List等
DuanLiuchang的博客
09-22 778
Struts2使用JSTL在前台取不到后台的List等 看看在Action是否忘记添加Get/Set方法了
Struts2+hibernate+spring的常见面试题
10-08
4. 标签支持:Struts1使用JSTL和自定义标签,而Struts2使用OGNL表达式语言和丰富的内置标签。 5. 验证:Struts1的验证通常是手动实现,而Struts2支持手动和验证框架的集成,提供更灵活的验证机制。 在Web项目开发...
structs-2.3.16-all.zip+jstl-1.2.jar
07-05
例如,开发者可以在Struts 2的Action结果页面上使用JSTL标签来展示数据,处理页面逻辑。Struts 2 Action返回的结果可以与JSTL标签配合,动态地生成和渲染HTML页面。 4. J2EE应用: 在J2EE环境,Struts 2和JSTL的...
[新闻文章]Struts新闻管理系统学习修正版_newsmanager.zip
11-18
2. **ActionForm**:在Struts,ActionForm对象用于封装来自客户端的请求数据,它作为Action类和视图之间的桥梁。在这个新闻管理系统,可能会有一个NewsForm类用于存储新闻的相关信息。 3. **配置文件**:包括...
bug-5-小二,上Bug!——JSTL
起舞的日子
02-27 212
话说: 饿了,发表完这个,开饭。 目录 关于JSTL的2个Bug Bug1 : The absolute uri: http://java.sun.com/jstl/core cannot be resolved in either web.xml or the jar files deployed with this application 表明jstl包没有部署到IDEA的...
struts2往actin传递参数的方式
qq_36471517的博客
10-24 141
方式一:通过action的属性,在Action定义你要传递的参数的名字,然后给这些属性设置get和set方法,你设置的这些属性的名字可以和传递的参数的名字不一样,但是你设置的get和set方法一定要和你要传递的参数的名字一样,当一般我们都会三者保持一致 方式二:域模型传递参数。将你要传递的参数封装成一个对象,然后再Action声明这个对象,并且给这个对象设置get和set方法。如果你传递的参
注意JSTLstruts2传值的一个地方
jackyrongvip的专栏
05-26 132
JSP,如果向OGNL传值,在struts 2.1.8前,可以这样写: 那么在struts 2.1.8,要这样了
JSTL版本错误的解决-"This absolute uri (http://java.sun.co
cai555的专栏
02-14 659
今天将JSP的项目从Tomcat 5.5.12移植到Jboss AS去,偶然发现了一个奇怪的问题。"org.apache.jasper.JasperException: This absolute uri (http://java.sun.com/jsp/jstl/core ) cannot be resolved in either web.xml or the jar files deploy...
mavenjstl标签struts2标签库报错问题解决方案
花落惊夜雨的博客
11-07 1683
错误信息如下: 1. The absolute uri:[http://java.sun.com/jsp/jstl/core] cannot be resolved in either web.xml or the jar files deployed with this application 2. Unable to find taglib "s" for URI: /struts-tag...
JSP使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 3038
普通的Java Web项目使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
Struts2与EL、JSTL标签详解
"这篇资料主要介绍了Struts2、EL(Expression Language)和JSTL(JavaServer Pages Standard Tag Library)框架的一些常用标签,旨在帮助学习者掌握这些技术的基础知识和常用功能。" 在Web开发Struts2、EL和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值