防止XST攻击JSTL& JSP scriptlet

时间:2014-05-20 06:03:04

标签: java jsp validation jstl xss

enter image description here

我有一个Web应用程序,它接受来自我的用户的html模板以呈现特定页面,因为他们喜欢看到它。我为它们渲染动态内容做了一些约定,就像使用$ {news}来呈现最新消息一样:

我说他们看到最新消息将$ {news}标记放在你的html标签之间,如下所示:

<div style="desiredStyle">
    <forEach varStatus="item" items=${news} >
        <div>
            <p>${item.title}</p>
            <p>${item.content}</p>
        </div>
    </forEach>
</div>

无论如何我想阻止他们使用除我定义的params ex:${news}以外的任何其他JSTL或JSP标记来防止数据泄露和XSS攻击。

问题是如何在我的<textarea>输入元素中允许使用html标记和javascript代码并防止恶意JSTL和JSP Scriptlet代码?

是否有用于这些目的的图书馆?

0 个答案:

没有答案
相关问题
最新问题