如何从JSP中删除这个XSS?
我在JSP中定义了一个输入标记:如何从JSP中删除这个XSS?,jsp,xss,Jsp,Xss,我在JSP中定义了一个输入标记: <input type="text" name="transCurrency" maxlength="10" size="10" value="<%=beanUseVec.getValue("transCurrency")%>" /> 当我扫描我的文件时,我发现行中显示XSS错误: <input type="text" name="transCurrency" maxlength="10" size="10" value="
<input type="text" name="transCurrency" maxlength="10" size="10" value="<%=beanUseVec.getValue("transCurrency")%>" />
当我扫描我的文件时,我发现行中显示XSS错误:
<input type="text" name="transCurrency" maxlength="10" size="10" value="<%=beanUseVec.getValue("transCurrency")%>" />
它指出
是一种XSS风险。通常对于JSP中的其他XSS风险,我使用jstlc:out
标记,我认为这里不能使用它,因为getValue()
不是POJO函数,它只是一个返回字符串的函数,c:out
需要调用POJO函数的变量
有人能提出其他方法来解决这个XSS问题吗?您可以将输出保存到
请求
变量中,并使用c:out
标记显示它
<%
String output = beanUseVec.getValue("transCurrency");
request.setAttribute("output",output);
%>
<input type="text" name="transCurrency" maxlength="10" size="10" value="<c:out value='${output}'/>"/>
您可以将输出保存到
请求
变量中,并使用c:out
标记显示它
<%
String output = beanUseVec.getValue("transCurrency");
request.setAttribute("output",output);
%>
<input type="text" name="transCurrency" maxlength="10" size="10" value="<c:out value='${output}'/>"/>
谢谢,让我检查一下。非常感谢,它像一个符咒一样有效。被接受并投票通过。谢谢,让我检查一下。非常感谢,它像一个符咒一样有效。被接受并投票通过。