[英]How to use getParameter in jsp the safe way
我正在使用getParameter從URL到頁面獲取內容。
<p>name <%= request.getParameter("name") %></p>
我應該避免什么內容(例如腳本標簽)?
我應該如何驗證?
我在JSP中工作。
編輯:
今天,我只去除html標簽:
variable.replaceAll("\\<.*?>","");
您不應該在jsp中使用scriptlet,這不是一個好習慣
<p>name <c:out value='${param.name}'/> </p>
要逃脫JavaScript注入,可以使用StringUtils.escapejavaScript()
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.