JSTL 标签过滤跨站处理

最新推荐文章于 2021-11-19 22:01:32 发布
最新推荐文章于 2021-11-19 22:01:32 发布
阅读量153 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moto72/article/details/106945407
版权

上篇文章介绍了xss 跨站的一些小技巧,我们不局限于传统的

<script>alert("xss")</script>这样的脚本,也会用一些其他的特殊处理方式,有兴趣的朋友可以去深入研究,毕竟只有知己知彼才能百战不殆。

但是系统往往在建设之处,很多所谓的设计者们并没有考虑这些问题,这才是为什么网上很多虽然活着却实际上已经死了的网站,

这里简单介绍一下jstl标签处理,

如果你讨厌数据库里面存放着一堆你看不懂的转义字符,或者你后台很多数据没有处理,或者,还有很多其他的原因你无能为力,

但是总不能页面显示的时候窗口乱弹吧 -_-#!

这里说一个解决思路,如果你使用JSP来构建你的页面,那你肯定不会陌生JSTL标签和EL表达式,那么JSTL标签可以帮助你解决一下xss问题

${}是el表达式,默认不过滤特殊符号的,但是你可以使用<c:out value='${}'/> 过滤特殊符号:)

这样可以帮助你很大程度上解决了页面的问题,还不用重启你的server,如果你觉得这样太过于麻烦(页面要修改的地方太多了)

我们可以修改el表达式的默认实现,让${}默认输出滤特殊字符。等价于<c:out value=''/>

参考帮助 http://pukkaone.github.io/2011/01/03/jsp-cross-site-scripting-elresolver.html

修改方式如下:
2、下载jsp-api-2.1.jar加入项目,否则编译报 javax.el.ELResolver 找不到。
3、修改web.xml加入自己的监听器 
<listener> <listener-class>com.xxxxx.support.xss.EscapeXmlELResolverListener</listener-class> </listener>
注意,框架里原来spring自动在绑定参数前过滤字符的,要去掉。只需要在页面输出的时候 escape 即可。而此时,${}直接就是escape的了。
此方法最后没有使用,原因是${pager.postToolBar}等输出,需要html输出,但是也被过滤了,改动也将很多。干脆还是开发人员在自己页面里用<c:out value="${}"/>输出。
反正我不是折腾了,我选择一条简单折中的线路。

 

moto72
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSTL和Filter过滤
m0_54241777的博客
01-06 438
学习目标: 1.
JSP和JSTL 过滤器和监听器
Hello_zbs的博客
05-12 263
JSP 和 JSTL 1. 主要内容 2. JSP 新建JSP⻚⾯ 注释 在 JSP 中⽀持两种注释的语法操作: ⼀种是显示注释,这种注释是允许客户端看⻅的; 另⼀种是隐式注释,此种注释是客户端⽆法看⻅的 ① 显示注释语法:从 HTML ⻛格继承⽽来 ② 隐式注释语法:从 JAVA ⻛格继承;JSP ⾃⼰的注释 JSP 的三种注释⽅式: 1) // 注释,单⾏注释 /* 多⾏注释*/ 2) 3)<%-- JSP注释 --%> ** Scriptlet 在 JSP 中最重要的部分就是 S
EL、JSTL、自定义标签过滤器的ppt
03-07
EL、JSTL、自定义标签过滤器的ppt
JSTL / Filter
weixin_34095889的博客
10-21 82
JSTLJSP Standard Tag Library JSP标准标签库 是Sun公司定义的一套标准,由Apache组织基于这套标准开发的一套标准库之后又转给Sun公司被称为JSTL,成为了javaEE5.0的核心。 使用: step1:导入两个jar包      jstl-1.2.jar standard-1.1.2.jar step2:在jsp页面上引入标签库      ...
JavaWeb笔记--过滤器、EL、JSTL
一个巨大的博客
10-11 135
1.EL运算  1.1 语法:${EL表达式} (1) EL不需要导包 (2) EL中调用属性,其实是调用的getXxx()方法  2.2 .与[]操作符 .操作符: 操作属性,不是对象,使用方便 ${范围.对象.属性.属性的属性 } []操作符: 如果是常量属性,需要使用双引号/单引号,但比点操作符更加强大  2.3 []优点之处 (1) 可以容纳一些 特殊符号 (. ? -)...
JSTL函数JSTL函数
11-20
JSTL(JavaServer Pages Standard Tag Library)是一个用于简化JSP开发的标准标签库,它提供了一系列功能强大的标签处理常见的编程任务,如迭代、条件判断、XML处理等。在这个库中,`fn`命名空间提供了丰富的函数...
实现JSTL展示数据
12-26
8. **安全性**:JSTL的`fn:escapeXml`函数可以防止跨站脚本(XSS)攻击,确保从数据库取出的数据在显示时安全无害。 9. **页面设计**:在实际应用中,JSTL结合EL(Expression Language)表达式,可以实现动态渲染...
删除html标签.
06-15
3. **安全问题**:虽然以上方法可以有效去除HTML标签,但对于用户输入的数据仍然需要进行严格的过滤和验证,以防止其他类型的安全威胁。 #### 五、扩展知识 除了以上介绍的方法外,还可以考虑使用一些现成的库来...
jstl官方帮助
11-23
JSTL 是一套用于 JavaServer Pages (JSP) 应用程序的标准标签库,它提供了处理常见任务的标签,如迭代、条件判断、XML 处理、国际化和URL重写等。JSTL 的目标是简化 JSP 页面,减少在页面中直接编写 Java 代码,从而...
学习jsp碰到各种问题收集的处理办法
10-24
8. **安全性**:在JSP开发中,要关注SQL注入、跨站脚本攻击(XSS)等安全问题。学习如何使用预编译语句防止SQL注入,以及如何对用户输入进行验证和过滤,是保障应用安全的重要步骤。 9. **性能优化**:减少JSP中的...
知识梳理:请求转发与重定向&JSP&EL表达式&JSTL&基于Servlet3.0 的文件上传和下载&XSS过滤&过滤器&监听器
weixin_47255857的博客
08-30 509
目录:请求转发与重定向&JSP&EL表达式&JSTL&XSS过滤&基于Servlet3.0 的文件上传和下载&过滤器&监听器 请求转发与重定向 请求转发(forward) 请求转发是由HttpServletReqeust发起的跳转,跳转的同时可以将请求范围之内的信息传递到下一个Servlet中,请求转发是服务端跳转,请求转发对于客户端来说只发送了一次请求,并且地址栏只会显示第一次请求的地址。 request.setAttribute(key,value
XSS 前端防火墙 —— 内联事件拦截
weixin_34121282的博客
07-23 67
http://fex.baidu.com/blog/2014/06/xss-frontend-firewall-1/
HTML标签XSS攻击过滤模块--待优化
weixin_30740581的博客
12-09 73
HTML标签XSS攻击过滤模块 http://cnodejs.org/topic/5058962f8ea56b5e7806b2a3 转载于:https://www.cnblogs.com/benpaodexiaopangzi/p/6148819.html
ELResolver Escapes JSP EL Values To Prevent Cross-Site Scripting
pyzheng的专栏
04-25 333
[color=red][b]JspFactory.getDefaultFactory()[/b]返回null的异常[/color]解决办法: [color=red][b]unable to register a custom ELResolver[/b][/color] [url]http://stackoverflow.com/questions/2551517/gae-j-unable-to...
EL表达式
weixin_55680204的博客
11-19 1066
2.EL 表达式 1.1 初识 EL 表达式 EL在开发中,通常是用来获取域对象中保存的值,基本语法:${域对象的名称}。 比如说: request.setAttribute(“key”,“value123”): ${key},获取的值就是value123 如果域对象的名称写错了,使用el表达式获取值,获取的是"". 1.2 EL表达式中的标识符 在el书写过程中,会用一些符号来标记变量、函数名等,这些符号称之为标识符。 1.3 EL中的变量 基本格式:${域对象的名称},这个域对象的名称可以理解为就是e
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 2874
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
Cross-Site Scripting(XSS)简介
weixin_30784945的博客
07-13 300
  最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。   在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。   而在本篇文章中,我们将一步一步深入挖掘XSS的攻击流程,攻击手段,以及防御方法等各个方面。 XSS示...
jsp自定义标签过滤XSS安全字符
jianjun2114的博客
04-18 896
1.创建自定义标签类 public class XssTag extends SimpleTagSupport { @Override public void doTag() throws JspException, IOException { } } 2.创建xss.tld文件,并注册标签类 <?xml version="1...
深入理解EL、JSTL过滤器技术
"EL、JSTL、自定义标签过滤器的讲解" EL(Expression Language,表达式语言)和JSTL(JavaServer Pages Standard Tag Library,JSP标准标签库)是Java Web开发中用于增强JSP页面表现力的重要工具,而自定义标签和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值