jsp <html text xss,JSP中使用JSTL,并且解决XSS安全问题

最新推荐文章于 2021-06-17 09:16:23 发布
最新推荐文章于 2021-06-17 09:16:23 发布
阅读量119 收藏
点赞数
文章标签: jsp &lt;html text xss

普通的Java Web项目中使用JSTL来简化JSP, 以及使用 标签处理Cross-Site Scripting安全问题。

1. 下载JSTL必要的jar包

官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/

下载 jakarta-taglibs-standard-1.1.2.zip 包并解压,将 jakarta-taglibs-standard-1.1.2/lib/ 下的两个 jar 文件:standard.jar 和 jstl.jar 文件拷贝到 /WEB-INF/lib/ 下,将 tld下的需要引入的 tld 文件复制到 WEB-INF/lib目录下。

2. 引入

在需要使用JSTL的JSP文件最开始处加入

3. 使用

Demo项目创建了2个页面,index.jsp 和welcome.jsp,以及用于接受数据的mode ---User.java

三个文件的code:

index.jsp

pageEncoding="ISO-8859-1"%>

Insert title here

index页面通过提交按钮将表单信息传到welcome页面。

welcome.jsp

pageEncoding="ISO-8859-1"%>

Insert title here

String nm = request.getParameter("name");

String pwd = request.getParameter("password");

%>

welcome.jsp接收index页面传递过来得方式有两种

User.java

public class User {

private String name;

private String password;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public String getPassword() {

return password;

}

public void setPassword(String password) {

this.password = password;

}

}

1、User bean接收

property的值需要和index.jsp中输入框的name值对应。

2、通过变量接收

String nm = request.getParameter("name");

String pwd = request.getParameter("password");

jsp中嵌套的java code,将request中的参数存到两个变量中(nm, pwd)

那么如何将index页面传递过来的参数显示呢?

1、EL表达式

${xxx}

2、标签

直接输出到页面

将值填充到输出框中

"/>" />

" />

但是为什么EL表达式中不直接用nm变量?因为${nm}拿到的值为null。

EL表达式中的内容必须在PageScope、RequestScope、SessionScope、ApplicationScope四个范围之一,才能取到值。

而nm定义在Java中,属于局部变量。

3、标签

4、

或者

但是和这两种输出方式是有区别的,即:输出内容中含html或者js标签时,前者会影响html页面格式或者执行js内容,后者会直接输出,不会影响页面和执行js

例如:

输入

a4e8e2f3b4c643796d3b50754c40bf54.png

, welcome页面会出现弹框

c914af8f612e30afb7ab4fe3fa74c765.png

而就不会,而是直接输出内容,不执行js。

4f266931fdb10fcc106c57e92f1684be.png

因此,JSTL的标签可以用来处理Cross-Site Scripting 安全问题。

对你不显示
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSP动态合并单元格的实例代码
01-08
<span xss=removed> <%@ taglib prefix=c uri=http://java.sun.com/jsp/jstl/core%> <table width=100% border=0 cellspacing=0 cellpadding=0> <tr> <th> 报表名称 </th> </tr> <c var=tempCount value=0></...
JSPHTML代码
HanpengChen的博客
08-24 4660
一、HTML常用标签1.HTML文档结构包括文档头部Head和文档主体Body两大部分,其文档头部用于描述浏览器所需的信息,如Title、meta meta标签是可选的,有时利用meta标签说明网页所用的字符集,如<meta http-equiv="Content-Type" content="text/html;charset=gb2312"/>若希望每隔5秒刷新一次网页,则可以<meta h
如何防御xssHTML编码和JS编码
weixin_42299862的博客
07-10 961
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
xss攻击html编码,通过HTML编码防御XSS跨站脚本攻击的研究
weixin_30280267的博客
06-16 369
龙源期刊网 http://www.doczj.com/doc/658f2e0ff11dc281e53a580216fc700abb6852e5.html通过HTML编码防御XSS跨站脚本攻击的研究作者:刘达来源:《网络空间安全》2016年第06期1 引言跨站脚本攻击(Cross SiteScript,XSS)是指恶意的攻击者利用Web程序的安全漏洞,从客户端提交有含有恶意代码的表单内容或向他人发送...
XSS】通过对HTML响应进行编码来防止跨站点脚本攻击
qgnczmnmn的博客
12-08 1480
公司将应用程序移动到Web上,以改善客户互动,降低业务处理成本并加快结果的速度。但是这样做也会增加漏洞-除非安全性是应用程序开发过程不可或缺的组成部分。要了解有关在组织创建安全文化的更多信息,请下载并阅读“安全Web应用程序:创建安全文化”。在跨站点脚本(XSS)攻击,攻击者将恶意代码注入到合法的网页,然后该网页运行恶意的客户端脚本。当用户访问受感染的网页时,脚本将下载到用户的浏览器并从其运行。此方案有很多变体。恶意脚本可能访问浏览器cookie,会话令牌或浏览器保留的其他敏感信息。但是,所有XSS
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
xmljava系统源码-jsp-jstl-engine:javajsp&jstl模板引擎
06-06
语法完全同jsp语法,支持java脚本和jstl标签,对于使用jstl的人来说没有任何学习成本。 零配置,不需要任何配置文件,也可以指定配置文件,配置文件简单明了。 可插拔的模块设计,模板加载方式,el引擎,运行模式均...
JSP-Servlets-SQL-ConnectionPool:使用 Java EE servelets 和 jspJSTL 和 EL)的电子邮件列表动态 Web 应用程序
06-08
使用的技术和指南本网站使用以下技术来正常工作: JSP(带有 JSTL、EL、包含和自定义标签) JSP <c> 标签转义字符并防止 XSS(跨站点脚本) JDBC 和准备好的语句以防止 SQL 注入攻击小服务程序JavaBean (User.class)...
exp4j_tld:exp4j JEE JSP 标签
07-08
exp4j_tldexp4j JEE JSP 标签使用 JSTL 和表达式语言: < c xss=removed xss=removed>< c xss=removed xss=removed>< expr4j xss=removed xss=removed> x = ${ x } , ${ expr_str } = </ expr4j>没有标签体: < expr...
JSTL,EL表达式语法简介
03-30
NULL 博文链接:https://li1314aishui.iteye.com/blog/1314537
xss防御
weixin_43326436的博客
06-09 756
1.xss防御的总体思路是:对用户的输入(和URL参数) 进行过滤,对输出进行html编码,也就是对用户的所有内容进行过滤,对url的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出页面的内容进行html编码,使脚本无法在浏览器执行。 2.对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤,黑名单虽然可以拦截大部分的xss攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝xss攻击,但是真实环境一般是不能进行如此严格的白名单过滤的。 3.对输出进行html编码,就是通过函数,将用
html攻击字符,HTML编码是否会阻止各种XSS攻击?
weixin_33201531的博客
06-17 210
没有。抛开允许一些标签的问题(不是问题的重点),HtmlEncode根本不覆盖所有的XSS攻击。例如,考虑服务器生成的客户端JavaScript – 服务器dynamic输出htmlencoded值直接到客户端JavaScript,htmlencode 不会停止注入的脚本执行。接下来,考虑下面的伪代码: id=textbox>现在,如果它不是立即显而易见的,如果somevar(当然是由用户...
java防止html注入,如何清理HTML代码以防止Java或JSPXSS攻击?
weixin_42298128的博客
02-26 202
I'm writing a servlet-based application in which I need to provide a messaging system. I'm in a rush, so I choose CKEditor to provide editing capabilities, and I currently insert the generated html di...
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3686
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
JSP引用HTML出现的问题解决
Nishino_shou的博客
05-26 7221
1.JSP使用&lt;%@include file="*.html"%&gt;引入HTML页面时,会出现文乱码问题解决方案一:  在HTML页面上添加 &lt;%page language="Java" import="java.util.*" pageEncoding="utf-8"%&gt;  添加&lt;%page pageEncoding="utf-8"%&a
xss攻击原理与解决方法html编码,XSS攻击处理(示例代码)
weixin_31201737的博客
05-31 5260
1、什么是XSS攻击XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞漏洞的厉害取决于攻击代码的能力。2、XSS攻击常见危害...
jsp常用的html标签
Jeffrey_oWang的博客
02-09 1872
思维导图奉上 一、h(headline的缩写)系列标签 1)h 123456标签,表示一~六级标题,每一级的权重都会逐级递减,显示出的效果就是页面上的字体的大小逐级递减(h级标签独占一行)约定俗成每一个页面只能有1个h1级标签 2)hr标签 定义一条水平线,可以分隔开话题 二、img(image的缩写)标签 表示定义一个图像,相当于一个特殊的文本 注意:img标签的属性是必须写的,否则不写属性的img标签是++没有灵魂++的(没有意义的) 三、a(anchor)标签 代表超链接,可以跳转到相应的页面或者
HTMLJSP的交互
热门推荐
罗思洋的博客
09-15 3万+
HTMLJSP的交互 1、任务简介 本博客分享的是工程训练任务间件和WEB服务”里面的内容,主要涉及HTMLJSP的知识,我通过两个普通任务和一个挑战任务将所学成果分享给大家。 2、任务代码 (1)普通任务1 1)任务内容 通过HTML表单输入两个数字,提交给jsp程序,完成此两个数字相加结果的输出。 2)任务代码 首先需要制作一个HTML网页,通过该HTML页面给J...
jsp 页面script标签xss漏洞
最新发布
08-19
比如对用户输入的数据进行合适的过滤和转义,确保使用合适的编码方式输出到script标签,可以使用JSTL的c:out标签或者其他安全的输出方式。另外,对于从其他位置获取的数据,也要进行合适的验证和过滤,确保输出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值