我正在使用getParameter从网址获取内容。
<p>name <%= request.getParameter("name") %></p>
我应该避免哪些内容(例如脚本标签)?
我应该如何验证它?
我在JSP工作。
编辑:
今天我只是删除html标签:
variable.replaceAll("\\<.*?>","");
答案 0 :(得分:1)
你不应该在jsp中使用scriptlet这是不好的做法
<p>name <c:out value='${param.name}'/> </p>
你应该照顾XSS attack c:out将转义xml
要转义javascript注入,您可以使用StringUtils.escapejavaScript()