以下是在java程序中创建的用于下载文件的URL。
String servletPathURL = "/BookAppWebProject/download fileName="+fileName+".csv&fileFormat=vnd.ms-excel"+"&methodName=exportUsers&filePath="+tmpFilePath;
并在UI(jsp页面)中我使用iframe来显示弹出窗口(显示保存选项并从上面的URL打开文件),并使用脚本动态设置该URL到iframe SRC属性
jQuery(initialise_exportiframe);
function initialise_exportiframe() {
var flag ='<%= session.getAttribute("exportFlag") %>';
var exportURL ='<%= session.getAttribute("exportServletURL") %>';
if(flag == '1') {
<% session.setAttribute("exportFlag", "0"); %>
document.getElementById("exportFrame").src=exportURL;
}
}
<iframe id="exportFrame" style="display: none" src="/IPSSWebProject/framework/skeletons/EnterprisePortalLAF/IPSS_blank.html"></iframe>
我担心的是,我可以在&#34; viewsourcepage&#34;中看到确切的网址,这可能会导致XSS攻击。任何人都可以告诉我如何隐藏或编码这个原始网址。