java - 如何在jsp中安全地使用getParameter

标签 java security jsp

我使用 getParameter 从 URL 获取页面内容。

<p>name <%= request.getParameter("name") %></p>


我应该避免哪些内容(例如脚本标签)?
我应该如何验证它?

我正在 JSP 工作。

编辑:
今天我只去掉 html 标签: 

variable.replaceAll("\\<.*?>","");

最佳答案

你不应该在jsp中使用scriptlet,这不是一个好的做法

<p>name <c:out value='${param.name}'/> </p>

你应该照顾XSS attack c:out将转义 xml

要逃避 javascript 注入(inject),您可以使用 StringUtils.escapejavaScript()

关于java - 如何在jsp中安全地使用getParameter,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4871992/

上一篇:java - 带 dotcms 的 jboss 最低配置

下一篇:java - "read"使用 java 和 apache xml-rpc 来自 OpenERP 的具有多个 ID 的数据

相关文章:

java - “Echo”linux 命令无法通过 Java 代码运行

java - 一个简单的 Spark 应用程序,存在 MojoExecutionException 问题

java - 如何处理 org.tensorflow.lite.Interpreter.runForMultipleInputsOutputs() 的结果

php - 在 php 文件中存储 key

php - 帐户删除后关闭 session

security - 我应该如何保护大多数静态 Web 应用程序的安全?

java - 从 WEB-INF 内的 JSP 访问文件

java - Jsp 连接到 servlet HTTP 状态 404

java - RequestBody JSON 格式有单引号

java - JSP:如何捕获另一个页面上的超链接文本

©2024 IT工具网  联系我们