Java 使用c:out标记的意义
我有两个jsp文件,如下所示 index.jspJava 使用c:out标记的意义,java,jsp,Java,Jsp,我有两个jsp文件,如下所示 index.jsp <form action="process.jsp" method="post"> FirstName:<input type="text" name="fname"/><br/> LastName:<input type="text" name="lname"/><br/> <input type="submit" value="submit"/> </form>
<form action="process.jsp" method="post">
FirstName:<input type="text" name="fname"/><br/>
LastName:<input type="text" name="lname"/><br/>
<input type="submit" value="submit"/>
</form>
所以我有点困惑,使用c:out标签的意义是什么??
如果我们可以在没有c:out的情况下完成同样的工作,那么为什么我们可以在JSP中使用这个标记呢。我是EL新手,这就是为什么问愚蠢的问题。不仅打印字符,而且转义HTML字符。从而防止可能的跨站点脚本攻击。
如果param.fname设置为如下所示:
param.fname = <script>while (true) alert("possible cross scripting attack");</script>
param.fname=while(true)警报(“可能的交叉脚本攻击”);
此脚本将在${param.fname}
的情况下执行。但在c:out标记的情况下,它将不会执行。尝试分配值alert('1')
到参数fname
并尝试这两种方法
First Name:nm
Last Name:nm
First Name:nm
Last Name:nm
param.fname = <script>while (true) alert("possible cross scripting attack");</script>