我已经获得了一些代码来修复XSS漏洞。 任务是安全地转义所有当前代码JSP表达式。
我正在使用JSTL来做到这一点。我没有重构的自由,只是为了让它安全。逻辑和变量都在一个我无法改变的scriptlet中。
这样做的最佳方式是什么?
以下是可行的解决方案。
在:
<% String myVar = "string" %>
<%= myVar %>
后:
<% String myVar = "string %>
<c:out value="<%= myVar %>"/>
答案 0 :(得分:1)
尽可能避免使用scriptlet并将其转换为JSTL。你可以这样做:
<c:set var = "myVar" scope = "session/request/page (not required and page is default)" value = "string-value"/>
<c:out value = "${myVar}"/>