我有理由相信我知道答案,但我很难找到任何具体的信息。我知道客户端向http服务器提交请求,可选地提供reqeust参数。服务器具有通过对象在请求属性中存储信息的附加功能。我的问题是,客户端是否可以访问http请求对象中的属性?我们有很多写得不好的代码,看起来像这样:
if (request.getAttribute("name") != null)
name = request.getAttribute("name);
else if (request.getParameter("name") != null)
name = request.getParameter("name");
我猜这是因为原始开发人员没有完全理解客户端http请求如何向服务器提交数据。在任何情况下,我正在努力实现额外的valiadation和请求数据的编码,以防止XSS漏洞,并想知道客户端是否有可能破坏/破解/利用请求属性(假设它们没有填充来自客户的数据)?
答案 0 :(得分:2)
没有。属性是servlet规范添加的属性,可用于在请求上运行的不同实体之间进行通信。它们不会通过电线传播,因此它们不存在于客户端。
客户端可以设置正文,参数(即网址)和标题,这就是它。
请参阅: