Java 覆盖默认值<；%=%&燃气轮机；在JSP中防止XSS攻击_Java_Jsp_Xss

Java 覆盖默认值<；%=%&燃气轮机；在JSP中防止XSS攻击

java jsp

Java 覆盖默认值<；%=%&燃气轮机；在JSP中防止XSS攻击,java,jsp,xss,Java,Jsp,Xss,有一个web项目中有丢失的，这不是XSS安全的！有没有什么方法可以用来解决这些问题如果您有大量%{}的jsp web项目，您可以更改EL解析器功能以覆盖默认的ELResolver，并使${}XSS安全。请看有相同的方法吗？！我们能否像重写${}一样重写的功能我看到一些指南。不，你不能是一种基本构造，它按原样打印值；有人可能需要它来转储原始HTML片段 <%= article.getBodyHtml %> 您的意思是使用此语句在jsp中打印表达式吗？是的！它们用于在jspSo

有一个web项目中有丢失的

，这不是XSS安全的！有没有什么方法可以用来解决这些问题

如果您有大量%{}的jsp web项目，您可以更改EL解析器功能以覆盖默认的ELResolver，并使

${}

XSS安全。请看

有相同的方法吗？！我们能否像重写

${}

一样重写

的功能

我看到一些指南。

不，你不能

是一种基本构造，它按原样打印值；有人可能需要它来转储原始HTML片段

<%= article.getBodyHtml %>

您的意思是使用此语句在jsp中打印表达式吗？是的！它们用于在jspSo中打印，在jsp中打印值时需要避免xss。这可能与你的问题无关。请参见，因此最好使用

c:out

标记来代替它。对于你的问题@sankrish，问题是项目已经开发（很久以前）。他们错误地使用了

。当然，我们可以将所有

更改为

c:out

，但需要大量的工作，这就是为什么我要寻找其他解决方案的原因