我使用 getParameter 从 URL 获取页面内容。
<p>name <%= request.getParameter("name") %></p>
我应该避免哪些内容(例如脚本标签)?
我应该如何验证它?
我正在 JSP 工作。
编辑:
今天我只去掉 html 标签:
variable.replaceAll("\\<.*?>","");
最佳答案
你不应该在jsp中使用scriptlet,这不是一个好的做法
<p>name <c:out value='${param.name}'/> </p>
你应该照顾XSS attack c:out
将转义 xml
要逃避 javascript 注入(inject),您可以使用 StringUtils.escapejavaScript()
关于java - 如何在jsp中安全地使用getParameter,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4871992/