EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号

最新推荐文章于 2023-05-09 10:52:17 发布
最新推荐文章于 2023-05-09 10:52:17 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 干货 文章标签: JSTL el表达式 xss注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39400208/article/details/103482337
版权

问题:

最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题:

如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变.

xss问题情况 此处说明HTML标签被解析了,让我们看看出现问题的代码

				<div class="content">
					<div class="message">
							<div class="tmenu">
								<ul class="clearfix">
									<li>标题: ${requestScope.get("title")} </li>
									<li>来自:${requestScope.get("sender")}</li>
									<li>时间:${requestScope.get("time")}</li>
								</ul>
							</div>
					  	 	<div class="view">
								<p>${requestScope.get("content")}</p>
							</div>
					</div>

解决方式:

使用taglib的function标签库: fn:escapeXml()方法

							<div class="tmenu">
								<ul class="clearfix">
									<li>标题: ${fn:escapeXml(requestScope.get("title"))} </li>
									<li>来自:${fn:escapeXml(requestScope.get("sender"))}</li>
									<li>时间:${fn:escapeXml(requestScope.get("time"))}</li>
								</ul>
							</div>
					  	 	<div class="view">
								<p>${fn:escapeXml(requestScope.get("content")}</p>
							</div>

或者使用JSTL标签库的<c:out>
<c:out value=“值” default=“默认值” escapeXml=“true”></c:out>

总结:

不光要知道怎么解决出现的问题,还要想到从根源上防止问题的发生,我们可以在发送邮件时就进行正则表达式的过滤,这样就从根源上杜绝了XSS注入的可能性.
在这里插入图片描述

古镇渔夫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EL表达式漏洞分析
不忘初心,护天下安全!
07-12 427
EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:在JSP访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式的变量不给定范围时,则默认在page范围查找,然后依次在request、session、applicat
html使用el标签
sdfvsdfsdfsdfsd的博客
09-18 2677
需要注意el标签被id 为 app的div所包含,因为 new Vue({ el: ‘#app’, //这个当然也可以换成.app,响应的就得对应class名字 data: function() { return { visible: false } } }) <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <!-- imp.
通过修改EL表达式输出行为解决XSS问题
0x7c00
08-20 5700
项目有好多通过EL表达式输出字符时没有考虑XSS问题,比如<div> <span>${user.name}</span> </div>简单来说,可以使用jstl标签来显示就好了:<div> <span><c:out value="${user.name}"/></span> </div>问题是,系统非常多地方都存在这种问题,要一一修改工作量简直就是灾难啊。 我想到的办法是,改变EL表达式输出
el 表达式 html标签,EL表达式JSTL标签库(一)
weixin_39880479的博客
06-28 872
1、JSTL概述JSTL标签库由标签库和EL表达式两个部分组成。JSTL标准标签库(Java Server Page Standard Tag Library),用来解决创建的页面的操作问题,包括输入输出、条件测试、遍历集合。2、EL表达式语法EL表达式的主要作用:获取数据。EL表达式主要用于替换JSP页面的脚本表达式,从Web作用域获取Java对象,获取数据,包括访问Javabean的属性、...
jsp el 和xss
hck341204的专栏
04-16 333
[code="java"]jsp 2.0的 ${todo.description}是不能防止xss的,如果输入脚本就可能导致xss攻击。 解决方法: 这种表达式只能用作tag的属性,而不能显示, 使用就可以自动escapeXml。或者使用${fn:escapeXml(todo.description)} 如果想不escape,使用[/code] alert(1);...
EL表达式Jstl详细教程
05-29
JSTL的许多标签可以接受EL表达式作为参数,使得EL能够更方便地在JSP页面工作。例如,`c:forEach`标签可以遍历集合,其`items`属性可以设置为EL表达式 `${list}`。 **6. JSTL的`core`标签库** `core`标签库是JSTL...
JSP 不能解析EL表达式的解决办法
01-08
原因是:在默认情况下,Servlet 2.4 / JSP 2.0支持 EL 表达式。 解决的办法有两种: 1.修改web.xml的开头定义。 代码如下: ”2.4″ xss=removed xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:...
EL表达式JSTL里三个主要标签实现表的增删改查
08-23
4. `<c:out>`:输出表达式的结果,可以防止XSS攻击。 **JSTL SQL标签库(sql tags)** 1. `<sql:update>`:执行更新语句,如修改表记录。 2. `<sql:insert>`:执行插入语句,将数据插入到表。 3. `<sql:delete>`...
JSP JSTL EL表达式FN函数使用帮助
05-25
在JavaServer Pages (JSP) 开发JSTL(JavaServer Pages Standard Tag Library)是一种标准标签库,用于简化页面编码,提高可维护性。其,EL(Expression Language)表达式是JSP 2.0引入的一种轻量级脚本语言,...
javaScript使用EL表达式的几种方式
10-25
JSP,`<c:out>`标签可以安全地输出EL表达式防止XSS攻击。虽然这不是直接在JavaScript使用EL,但可以确保在插入到HTML时已经进行了适当的转义: ```html var safeValue = "${safeELExpression}'/>"; ...
Freemarker输出$和html标签特殊符号
li_jiazhi的博客
04-28 719
场景:程序员都不喜欢看文档,而更喜欢抄例子。所以,我们把平台组的组件都做成例子供别人参考。我们前端展示层使用的是freemarker,所以遇到这个问题,比如我们要让前端显示freemarker自己的源码时就有问题了(因为我们例子程序的页面也是使用freemarker)。遇到的问题如下: 1、如何显示html源码,而不是让浏览器解析这些html,方法是使用freemarker的htm...
jsp防止xss攻击
lilovfly的专栏
08-04 6622
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
『Java安全』EL表达式注入
Ho1aAs‘s Blog
04-02 5034
文章目录前言EL表达式解析启用/禁用EL表达式注入绕过方式1. 反射2. js引擎rce参考引用完 前言 EL表达式全称Express Language EL表达式语法以${}包裹 其他使用方法见参考文章 EL表达式解析启用/禁用 默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>,或者是全局pom.xml设置 <jsp-config> <jsp-property-group>
浅析EL表达式注入漏洞
火柴人的博客
05-17 952
https://xz.aliyun.com/t/7692
el表达式去除html标签,JSP Tag标签EL表达式
weixin_42315338的博客
06-30 264
### JSP Tag标签jsp tag标签外表长得像html、xml等标记语言,但是内部其实就是封装了的Java代码。通过jsp标签可以简化一些需要在jsp上编写的Java代码,虽说是标签,但是jsp只会在服务器上运行,不会跑到浏览器上运行,毕竟jsp归根结底只是一个Servlet,以下介绍几个常见的jsp标签:**1.重定向标签:**``````这个标签与以下这段代码等价,都是内部转发:```...
react如何渲染包含html标签元素的字符串
最新发布
曲鸟
05-09 3340
后面查阅资料发现,在react,出于安全考虑的原因(XSS 攻击),在 React.js 当所有的表达式插入的内容都会被自动转义,就相当于 jQuery 里面的 text(…) 函数一样,任何的 HTML 格式都会被转义掉。因为用户的输入是不可控的,如果是这样的操作是开发给用户输入可能会导致 cross-site scripting (XSS) 攻击或者其他网页攻击,还有一些意向不到的错误出现。但我们这里的使用情况是控制了输入的,并没有开放给用户输入,所以不会出现上面的情况,可以放心使用。
EL表达式
农夫阿才
11-16 774
快速入门 语法格式&lt;%@ page language="java" contentType="text/html; charset=utf-8"%&gt; &lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;title&gt;EL表达式1&lt;/title&gt; &lt;/head&gt;
Jstl的函数库
weixin_30507481的博客
03-11 170
使用实例:<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %> ${fn:length(myCollection)} 其他函数: 函数 ...
解决v-html指令潜在的xss攻击
热门推荐
lingxiaoxi_ling的博客
04-29 1万+
我们首先来看一个例子 运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。 html指令的运行原理 v-html指令源码 // /vue/src/platforms/web/compiler/directives/html.js export default function html (el: ASTElement, di...
Java JSP教程:深入理解EL表达式语言
特别是09_JSP表达式语言部分,介绍了EL(Expression Language)的基本语法和用法,包括静态文本、标准标签和自定义标签的应用。教程通过实例展示了如何在JSP页面进行逻辑运算,如与、或、非等操作。" 本文将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值