EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号

最新推荐文章于 2024-04-15 11:27:45 发布
最新推荐文章于 2024-04-15 11:27:45 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 干货 文章标签: JSTL el表达式 xss注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39400208/article/details/103482337
版权

问题:

最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题:

如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变.

xss问题情况 此处说明HTML标签被解析了,让我们看看出现问题的代码

				<div class="content">
					<div class="message">
							<div class="tmenu">
								<ul class="clearfix">
									<li>标题: ${requestScope.get("title")} </li>
									<li>来自:${requestScope.get("sender")}</li>
									<li>时间:${requestScope.get("time")}</li>
								</ul>
							</div>
					  	 	<div class="view">
								<p>${requestScope.get("content")}</p>
							</div>
					</div>

解决方式:

使用taglib的function标签库: fn:escapeXml()方法

							<div class="tmenu">
								<ul class="clearfix">
									<li>标题: ${fn:escapeXml(requestScope.get("title"))} </li>
									<li>来自:${fn:escapeXml(requestScope.get("sender"))}</li>
									<li>时间:${fn:escapeXml(requestScope.get("time"))}</li>
								</ul>
							</div>
					  	 	<div class="view">
								<p>${fn:escapeXml(requestScope.get("content")}</p>
							</div>

或者使用JSTL标签库的<c:out>
<c:out value=“值” default=“默认值” escapeXml=“true”></c:out>

总结:

不光要知道怎么解决出现的问题,还要想到从根源上防止问题的发生,我们可以在发送邮件时就进行正则表达式的过滤,这样就从根源上杜绝了XSS注入的可能性.
在这里插入图片描述

古镇渔夫
关注
专栏目录
EL表达式Jstl详细教程
05-29
JSTL的许多标签可以接受EL表达式作为参数,使得EL能够更方便地在JSP页面工作。例如,`c:forEach`标签可以遍历集合,其`items`属性可以设置为EL表达式 `${list}`。 **6. JSTL的`core`标签库** `core`标签库是JSTL...
Jstl的函数库
weixin_30507481的博客
03-11 195
使用实例:<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %> ${fn:length(myCollection)} 其他函数: 函数 ...
通过修改EL表达式输出行为解决XSS问题
0x7c00
08-20 5766
项目有好多通过EL表达式输出字符时没有考虑XSS问题,比如<div> <span>${user.name}</span> </div>简单来说,可以使用jstl标签来显示就好了:<div> <span><c:out value="${user.name}"/></span> </div>问题是,系统非常多地方都存在这种问题,要一一修改工作量简直就是灾难啊。 我想到的办法是,改变EL表达式输出
解决v-html指令潜在的xss攻击
热门推荐
lingxiaoxi_ling的博客
04-29 1万+
我们首先来看一个例子 运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击。 html指令的运行原理 v-html指令源码 // /vue/src/platforms/web/compiler/directives/html.js export default function html (el: ASTElement, di...
自定义EL函数防止HTML注入
参与感
04-03 2263
我们先来看看没有自定义EL函数时是怎么HTML注入的。 首先,我们定义一个jsp页面用于搜集用户提交的表单数据 用户名: 留言:      我们让表单数据提交给ResultServlet来处理,所以我们定义一个servlet来处理数据 import java.io.IOException; import java.io.PrintWriter; import
Freemarker输出$和html标签特殊符号
li_jiazhi的博客
04-28 780
场景:程序员都不喜欢看文档,而更喜欢抄例子。所以,我们把平台组的组件都做成例子供别人参考。我们前端展示层使用的是freemarker,所以遇到这个问题,比如我们要让前端显示freemarker自己的源码时就有问题了(因为我们例子程序的页面也是使用freemarker)。遇到的问题如下: 1、如何显示html源码,而不是让浏览器解析这些html,方法是使用freemarker的htm...
JSP 不能解析EL表达式的解决办法
01-08
原因是:在默认情况下,Servlet 2.4 / JSP 2.0支持 EL 表达式。 解决的办法有两种: 1.修改web.xml的开头定义。 代码如下: ”2.4″ xss=removed xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:...
JSP JSTL EL表达式FN函数使用帮助
05-25
在JavaServer Pages (JSP) 开发JSTL(JavaServer Pages Standard Tag Library)是一种标准标签库,用于简化页面编码,提高可维护性。其,EL(Expression Language)表达式是JSP 2.0引入的一种轻量级脚本语言,...
javaScript使用EL表达式的几种方式
10-25
JSP,`<c:out>`标签可以安全地输出EL表达式防止XSS攻击。虽然这不是直接在JavaScript使用EL,但可以确保在插入到HTML时已经进行了适当的转义: ```html var safeValue = "${safeELExpression}'/>"; ...
EL表达式JSTL里三个主要标签实现表的增删改查
08-23
4. `<c:out>`:输出表达式的结果,可以防止XSS攻击。 **JSTL SQL标签库(sql tags)** 1. `<sql:update>`:执行更新语句,如修改表记录。 2. `<sql:insert>`:执行插入语句,将数据插入到表。 3. `<sql:delete>`...
Java表达式注入JSP EL表达式注入
GalaxySpaceX的博客
08-16 1327
Java表达式注入JSP EL表达式注入
react如何渲染包含html标签元素的字符串
曲鸟
05-09 3774
后面查阅资料发现,在react,出于安全考虑的原因(XSS 攻击),在 React.js 当所有的表达式插入的内容都会被自动转义,就相当于 jQuery 里面的 text(…) 函数一样,任何的 HTML 格式都会被转义掉。因为用户的输入是不可控的,如果是这样的操作是开发给用户输入可能会导致 cross-site scripting (XSS) 攻击或者其他网页攻击,还有一些意向不到的错误出现。但我们这里的使用情况是控制了输入的,并没有开放给用户输入,所以不会出现上面的情况,可以放心使用。
html使用el标签
sdfvsdfsdfsdfsd的博客
09-18 2762
需要注意el标签被id 为 app的div所包含,因为 new Vue({ el: ‘#app’, //这个当然也可以换成.app,响应的就得对应class名字 data: function() { return { visible: false } } }) <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <!-- imp.
EL表达式
农夫阿才
11-16 1003
快速入门 语法格式&lt;%@ page language="java" contentType="text/html; charset=utf-8"%&gt; &lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;title&gt;EL表达式1&lt;/title&gt; &lt;/head&gt;
EL表达式漏洞分析
不忘初心,护天下安全!
07-12 456
EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:在JSP访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式的变量不给定范围时,则默认在page范围查找,然后依次在request、session、applicat
XSS攻击
最新发布
刘皇叔说Java的博客
04-15 1104
跨站脚本攻击(XSS,Cross-Site Scripting)是一种常见的安全漏洞,攻击者利用此漏洞向网页插入恶意的客户端脚本,从而在用户的浏览器执行恶意代码。攻击者通常利用 XSS 攻击来窃取用户的信息、会话令牌,或者篡改网页内容等。
el 表达式 html标签,EL表达式JSTL标签库(一)
weixin_39880479的博客
06-28 921
1、JSTL概述JSTL标签库由标签库和EL表达式两个部分组成。JSTL标准标签库(Java Server Page Standard Tag Library),用来解决创建的页面的操作问题,包括输入输出、条件测试、遍历集合。2、EL表达式语法EL表达式的主要作用:获取数据。EL表达式主要用于替换JSP页面的脚本表达式,从Web作用域获取Java对象,获取数据,包括访问Javabean的属性、...
Javaweb安全——表达式注入(EL+SpEL)
weixin_43610673的博客
07-22 3295
Java表达式根据框架分为好多种,这里以JSP自带的表达式语言EL和使用较多的Spring框架所支持的SpEL为例。其基本语法为${变量表达式}。
『Java安全』EL表达式注入
Ho1aAs‘s Blog
04-02 5094
文章目录前言EL表达式解析启用/禁用EL表达式注入绕过方式1. 反射2. js引擎rce参考引用完 前言 EL表达式全称Express Language EL表达式语法以${}包裹 其他使用方法见参考文章 EL表达式解析启用/禁用 默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>,或者是全局pom.xml设置 <jsp-config> <jsp-property-group>
JSTLEL表达式语言详解 - 标签库核心技术
例如,`<c:forEach>`标签用于遍历集合,`<c:set>`用于设置变量,而`<c:out>`则用于安全地输出数据,防止XSS攻击。 国际化标签库(fmt)则提供了对日期、数字等的格式化功能,适应不同地区的文化习惯。例如,`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值