jsp el 和xss

最新推荐文章于 2024-03-08 19:50:51 发布
最新推荐文章于 2024-03-08 19:50:51 发布
阅读量344 收藏
点赞数
分类专栏: jsp/servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hck341204/article/details/84419683
版权 
jsp 2.0中的 ${todo.description}是不能防止xss的,如果输入脚本就可能导致xss攻击。
解决方法:
这种表达式只能用作tag的属性,而不能显示,
使用<c:out value="${todo.description}"/>就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)}
如果想不escape,使用<c:out value="${todo.description}" escapeXml="false"/>


<script>alert(1);</script>
MOVING
关注
专栏目录
EL表达式漏洞分析
不忘初心,护天下安全!
07-12 439
EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、applicat
java jsp 木马_JSP安全开发之XSS漏洞详解
weixin_39991055的博客
12-21 534
前言大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种漏洞?出现这种漏洞应该怎么修复?正文1.XSSXSSXSS是什么鬼?XSS又叫跨站脚本攻击(Cross Site Scripting),我不会告诉他原本是叫CSS的,但是为了不和我们所用的层叠样式表(Cascading Style Sheets)CSS搞混。CS...
EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号
永动机的白
12-10 2562
问题: 最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题: 如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变. 此处说明HTML标签被解析了,让我们看看出现问题的代码 <div class="content"> <div class="message"> <div class="tmenu...
jsp中防止xss攻击
lilovfly的专栏
08-04 6639
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
XXS及Jsp
最新发布
2302_80044238的博客
03-08 940
jsp的全称是java servlet page 它就是java的服务器页面因为它相对于servlet传回数据的方法比较简单Servlet的本质是一个,旨在处理HTTP请求并生成HTTP响应。
JSP 不能解析EL表达式的解决办法
01-08
原因是:在默认情况下,Servlet 2.4 / JSP 2.0支持 EL 表达式。 解决的办法有两种: 1.修改web.xml的开头定义。 代码如下: <web version=”2.4″ xss=removed xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:schemaLocation=”http://java.sun.com/xml/ns/j2ee> 这个
通过修改EL表达式输出行为解决XSS问题
0x7c00
08-20 5726
项目中有好多通过EL表达式输出字符时没有考虑XSS问题,比如<div> <span>${user.name}</span> </div>简单来说,可以使用jstl标签来显示就好了:<div> <span><c:out value="${user.name}"/></span> </div>问题是,系统中非常多地方都存在这种问题,要一一修改工作量简直就是灾难啊。 我想到的办法是,改变EL表达式的输出
jstl防范xss
weixin_30617561的博客
04-24 327
很多时候,在JSP中我们喜欢用EL表达式输出信息,但是最近发现这个确实存在个问题:XSS即跨域攻击。 下面看个例子:   <c:out value="${student.name}" /> 和 ${student.name}都能输出同样的结果。   但是有跨域攻击时student.name = <script>alert("hello world!")</sc...
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2575
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
解决jsp页面引入百度编辑器,出现xss漏洞
qq_32736535的博客
03-01 4317
前端部分引用代码 <form method="post" action="" enctype="multipart/form-data" id="theForm" onsubmit="return validateSubmitForm(this)"> <tr> <th> 内容: </th> <td colspan="3"> <textarea class="e
JSTL,EL表达式语法简介
03-30
JSTL的核心是与Java Expression Language(EL)紧密集成,EL则是一个用于在JSP页面中获取和操作数据的简洁表达式语言。 **EL(Expression Language)**是Java Servlet 2.4及更高版本中引入的一种轻量级脚本语言。它...
EL表达式和Jstl详细教程
05-29
EL(Expression Language,表达式语言)是Java服务器页面(JSP)技术的一部分,它提供了一种简洁的方式来访问JavaBean属性和表达式中的其他对象。EL表达式通常用于在JSP页面中获取数据、执行简单的运算以及调用方法...
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 2949
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
jsp过滤非法字符输入 防止XSS跨站攻击
Love~jiaojiao的博客
04-12 6301
一。写一个过滤器   代码如下:   package com.liufeng.sys.filter;   import java.io.IOException; import java.io.PrintWriter;   import javax.servlet.Filter; import javax.servlet.FilterCha
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3895
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
jsp 前端防止 xss 注入攻击
玩家六的专栏
04-19 8756
对输出到 html 上的值做过滤操作,主要可以使用如下两种方式:HtmlEncode方式:var HtmlEncode = function(str){ var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f'); var preescape = str; var e
JSP2.0技术手册:EL与JSTL详解
随着JSP 2.0的发布,EL成为核心规范,可以直接在JSP页面中使用,极大地提高了开发效率和代码的可读性。 EL的主要优点在于其简洁的语法。一个基本的EL表达式以`${}`包裹,例如 `${sessionScope.user.sex}`,这表示从...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值