jsp <html text xss,JSP中使用JSTL,并且解决XSS安全问题

最新推荐文章于 2021-06-17 09:16:23 发布
最新推荐文章于 2021-06-17 09:16:23 发布
阅读量122 收藏
点赞数
文章标签: jsp &lt;html text xss

普通的Java Web项目中使用JSTL来简化JSP, 以及使用 标签处理Cross-Site Scripting安全问题。

1. 下载JSTL必要的jar包

官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/

下载 jakarta-taglibs-standard-1.1.2.zip 包并解压,将 jakarta-taglibs-standard-1.1.2/lib/ 下的两个 jar 文件:standard.jar 和 jstl.jar 文件拷贝到 /WEB-INF/lib/ 下,将 tld下的需要引入的 tld 文件复制到 WEB-INF/lib目录下。

2. 引入

在需要使用JSTL的JSP文件最开始处加入

3. 使用

Demo项目创建了2个页面,index.jsp 和welcome.jsp,以及用于接受数据的mode ---User.java

三个文件的code:

index.jsp

pageEncoding="ISO-8859-1"%>

Insert title here

index页面通过提交按钮将表单信息传到welcome页面。

welcome.jsp

pageEncoding="ISO-8859-1"%>

Insert title here

String nm = request.getParameter("name");

String pwd = request.getParameter("password");

%>

welcome.jsp接收index页面传递过来得方式有两种

User.java

public class User {

private String name;

private String password;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public String getPassword() {

return password;

}

public void setPassword(String password) {

this.password = password;

}

}

1、User bean接收

property的值需要和index.jsp中输入框的name值对应。

2、通过变量接收

String nm = request.getParameter("name");

String pwd = request.getParameter("password");

jsp中嵌套的java code,将request中的参数存到两个变量中(nm, pwd)

那么如何将index页面传递过来的参数显示呢?

1、EL表达式

${xxx}

2、标签

直接输出到页面

将值填充到输出框中

"/>" />

" />

但是为什么EL表达式中不直接用nm变量?因为${nm}拿到的值为null。

EL表达式中的内容必须在PageScope、RequestScope、SessionScope、ApplicationScope四个范围之一,才能取到值。

而nm定义在Java中,属于局部变量。

3、标签

4、

或者

但是和这两种输出方式是有区别的,即:输出内容中含html或者js标签时,前者会影响html页面格式或者执行js内容,后者会直接输出,不会影响页面和执行js

例如:

输入

a4e8e2f3b4c643796d3b50754c40bf54.png

, welcome页面会出现弹框

c914af8f612e30afb7ab4fe3fa74c765.png

而就不会,而是直接输出内容,不执行js。

4f266931fdb10fcc106c57e92f1684be.png

因此,JSTL的标签可以用来处理Cross-Site Scripting 安全问题。

对你不显示
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JSP一些JSTL核心标签用法总结
10-22
为了在项目使用JSTL,需要将对应的jar文件(如jstl.jar和standard.jar)放入项目的`WEB-INF/lib`目录下,并在JSP页面通过`<%@ taglib %>`指令导入JSTL标签库。例如,导入核心库的代码是`<%@ taglib uri=...
JSP动态合并单元格的实例代码
01-08
<span xss=removed> <%@ taglib prefix=c uri=http://java.sun.com/jsp/jstl/core%> <table width=100% border=0 cellspacing=0 cellpadding=0> <tr> <th> 报表名称 </th> </tr> <c var=tempCount value=0></...
html:text
vivid的技术专栏
06-22 2321
  (1)jsp--------------------------------   jCDataDefineListForm:   public class JCDataDefineListForm extends ActionForm  {    private String[] itemNo;     public String[] getItemNo()    { return itemN
JSPHTML代码
HanpengChen的博客
08-24 4670
一、HTML常用标签1.HTML文档结构包括文档头部Head和文档主体Body两大部分,其文档头部用于描述浏览器所需的信息,如Title、meta meta标签是可选的,有时利用meta标签说明网页所用的字符集,如<meta http-equiv="Content-Type" content="text/html;charset=gb2312"/>若希望每隔5秒刷新一次网页,则可以<meta h
如何防御xssHTML编码和JS编码
weixin_42299862的博客
07-10 964
https://www.jianshu.com/p/c0dc4bbab8e8 <p>${content}</p> 如上述代码所示,在P标签存在一个输出变量${content},浏览器解析的过程,首先是HTML解析,解析到P标签时,解析Content的内容,然后将其在页面显示出来。 <p><script>alert("实体XSS");</script></p> 如果我们把Content的内容换成上面内容,即script脚本,那么浏览
html攻击字符,HTML编码是否会阻止各种XSS攻击?
weixin_33201531的博客
06-17 210
没有。抛开允许一些标签的问题(不是问题的重点),HtmlEncode根本不覆盖所有的XSS攻击。例如,考虑服务器生成的客户端JavaScript – 服务器dynamic输出htmlencoded值直接到客户端JavaScript,htmlencode 不会停止注入的脚本执行。接下来,考虑下面的伪代码: id=textbox>现在,如果它不是立即显而易见的,如果somevar(当然是由用户...
jsp <html text xss,jsp - XSS with dynamic HTML input - Stack Overflow
weixin_39955351的博客
06-16 43
My team is fixing vulnerability threats from an old jsp application. The problem is it allows (permissioned) users to create a simple home page by putting their html into a textarea and having it rend...
jstl 使用文档方便你快速入门 ,能够快速上手使用JSTL技术.pdf
09-24
JSP页面使用`<%@ taglib %>`指令导入JSTL库。例如,导入核心库的代码如下: ```jsp <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> ``` ### 三、JSTL核心库的常用标签 1. **<c:if>**:...
xmljava系统源码-jsp-jstl-engine:javajsp&jstl模板引擎
06-06
语法完全同jsp语法,支持java脚本和jstl标签,对于使用jstl的人来说没有任何学习成本。 零配置,不需要任何配置文件,也可以指定配置文件,配置文件简单明了。 可插拔的模块设计,模板加载方式,el引擎,运行模式均...
JSTL_标签库详解大全JSTL常用标签汇总java开发jsp开发归类.pdf
11-22
JSTL的主要目标是减少Java代码在JSP页面使用,使得页面更加清晰,易于维护。 ### 一、JSTL核心标签库 JSTL的核心标签库包括以下四个主要部分: 1. **表达式操作** - 主要是用于显示和设置数据。 2. **流程...
java防止html注入,如何清理HTML代码以防止Java或JSPXSS攻击?
weixin_42298128的博客
02-26 204
I'm writing a servlet-based application in which I need to provide a messaging system. I'm in a rush, so I choose CKEditor to provide editing capabilities, and I currently insert the generated html di...
.jsp 读取txt 页面_JSP简介及其与HTML的区别
weixin_39600319的博客
11-27 165
01. 什么是JSP?JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页插入Java代码。标签通常以<%开头以%>结束。JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSPJSP通过网页表单获取用户输...
xss攻击html编码,通过HTML编码防御XSS跨站脚本攻击的研究
weixin_30280267的博客
06-16 369
龙源期刊网 http://www.doczj.com/doc/658f2e0ff11dc281e53a580216fc700abb6852e5.html通过HTML编码防御XSS跨站脚本攻击的研究作者:刘达来源:《网络空间安全》2016年第06期1 引言跨站脚本攻击(Cross SiteScript,XSS)是指恶意的攻击者利用Web程序的安全漏洞,从客户端提交有含有恶意代码的表单内容或向他人发送...
XSS】通过对HTML响应进行编码来防止跨站点脚本攻击
qgnczmnmn的博客
12-08 1498
公司将应用程序移动到Web上,以改善客户互动,降低业务处理成本并加快结果的速度。但是这样做也会增加漏洞-除非安全性是应用程序开发过程不可或缺的组成部分。要了解有关在组织创建安全文化的更多信息,请下载并阅读“安全Web应用程序:创建安全文化”。在跨站点脚本(XSS)攻击,攻击者将恶意代码注入到合法的网页,然后该网页运行恶意的客户端脚本。当用户访问受感染的网页时,脚本将下载到用户的浏览器并从其运行。此方案有很多变体。恶意脚本可能访问浏览器cookie,会话令牌或浏览器保留的其他敏感信息。但是,所有XSS
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
xss防御
weixin_43326436的博客
06-09 758
1.xss防御的总体思路是:对用户的输入(和URL参数) 进行过滤,对输出进行html编码,也就是对用户的所有内容进行过滤,对url的参数进行过滤,过滤掉会导致脚本执行的相关内容,然后对动态输出页面的内容进行html编码,使脚本无法在浏览器执行。 2.对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤,黑名单虽然可以拦截大部分的xss攻击,但是还是存在被绕过的风险,白名单过滤虽然可以基本杜绝xss攻击,但是真实环境一般是不能进行如此严格的白名单过滤的。 3.对输出进行html编码,就是通过函数,将用
JSP安全开发之XSS漏洞详解
ywb201314的专栏
03-18 3702
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。 前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...
JSP引用HTML出现的问题解决
Nishino_shou的博客
05-26 7229
1.JSP使用&lt;%@include file="*.html"%&gt;引入HTML页面时,会出现文乱码问题解决方案一:  在HTML页面上添加 &lt;%page language="Java" import="java.util.*" pageEncoding="utf-8"%&gt;  添加&lt;%page pageEncoding="utf-8"%&a
xss攻击原理与解决方法html编码,XSS攻击处理(示例代码)
weixin_31201737的博客
05-31 5270
1、什么是XSS攻击XSS又称为CSS(Cross SiteScript),跨站脚本攻击。其原理是攻击者向有XSS漏洞的网站“嵌入”恶意的HTML代码,当其他用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如:盗取用户Cookie、重定向到其他网站等。理论上,所有可以输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞漏洞的厉害取决于攻击代码的能力。2、XSS攻击常见危害...
jsp 页面script标签xss漏洞
最新发布
08-19
比如对用户输入的数据进行合适的过滤和转义,确保使用合适的编码方式输出到script标签,可以使用JSTL的c:out标签或者其他安全的输出方式。另外,对于从其他位置获取的数据,也要进行合适的验证和过滤,确保输出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值