c:out标签和el表达式与跨域攻击XSS
2015-05-28 23:55
330 查看
很多时候,在JSP中我们喜欢用EL表达式输出信息,但是最近发现这个确实存在个问题:XSS即跨域攻击。
下面看个例子:
<c:out value="${student.name}" /> 和 ${student.name}
但是有跨域攻击时[code]student.name = <script>alert("hello world!")</script>,${student.name}将会执行,而c:out则不会。
原因:c:out 有个缺省属性escapeXML="true" 将会对特色字符如 '<' '>' '&' 等进行转义,而EL表达式则不会。
下面看个例子:
<c:out value="${student.name}" /> 和 ${student.name}
都能输出同样的结果。
但是有跨域攻击时[code]student.name = <script>alert("hello world!")</script>,${student.name}将会执行,而c:out则不会。
原因:c:out 有个缺省属性escapeXML="true" 将会对特色字符如 '<' '>' '&' 等进行转义,而EL表达式则不会。
相关文章推荐
- socket编程总结
- linux下上传代码至github的步骤
- Python学习总结之五 -- 入门函数式编程
- 《编程珠玑》第三部分总结
- (算法)最长重叠线段或区间
- mac的open命令[快速打开程序的利器]
- a beatiful mind
- Mysql设置初始化密码和修改密码
- 数据结构之单链表(对单链表的所有操作)
- UVALive 4015 树形dp
- 【学习拾遗】JavaScript——Dom0模型和Dom2模型
- win8.1设置修改权限
- LVS-NAT及LVS-DR实现
- 如何成为一位卓越的技术经理?
- PHP 错误与异常 笔记与总结(9)自定义错误处理器
- ubuntu和win8双系统安装问题
- scoi2005 互不侵犯 (状压dp)
- Mark-listview的相关问题---持续更新
- 欢迎使用CSDN-markdown编辑器
- asp.net图片上传步骤