2
春季控制器集:逃生EL在JSP表示JSON數據
model.addAttribute("myJsonObj", JsonUtils.toJson(myObject));
的JSP有類似:
<script>
var myObj = ${myJsonObj};
(...)
如何正確地保護這個從任何XSS漏洞?
將打破JSON(雙引號等)
什麼是避免直接EL在JSP正確的策略?
A
回答
1
當JSP輸出var myObj = ${myJsonObj};時,其行爲與eval相同,該腳本會導致XSS問題。 解決方案輸出爲${myJsonObj}作爲字符串,因此惡意腳本不會執行。 然後用JSON.parse()將字符串還原爲javascript對象,這樣就不必更改其他腳本。
當輸出${myJsonObj}作爲字符串時,您必須處理雙/單引號字符。 這可以使用JSP定製標記/ EL函數來完成,例如:
var myObj = JSON.parse('<my:escapeEcmaScript value="${myJsonObj}"/>');
或做它在春天控制器
model.addAttribute("myJsonObj", StringEscapeUtils.escapeEcmaScript(JsonUtils.toJson(myObject)));
//In JSP
//var myObj = JSON.parse('${myJsonObj}');
相關問題
- 1. 生成在JSP EL
- 2. 在JSP中解決JSP EL EL
- 3. C#MVC逃生JSON
- 4. JSP EL參數列表/接口
- 5. 使用JSTL標記(dot字符)逃脫JSP EL
- 6. EL表達式在JSP:調用
- 7. 在JSP中未評估EL表達式
- 8. 如何逃生運營商在JSP表達式
- 9. Omnifaces逃生JSON字符串
- 10. JavaScript JSON逃生安全
- 11. EL表達式僅在特定的JSP頁面上顯示
- 12. 在表中顯示數據庫JSP
- 13. EL在JSP停止評估
- 14. 如何訪問在EL/JSP
- 15. 在jsp中啓用el
- 16. 在jsp中顯示使用數據表的哈希表數據
- 17. 逃生在CucumberJS數據表管道不起作用
- 18. 顯示jsp後顯示jsp中的java列表數據
- 19. 數據表:如何在數據錶行中顯示json數據?
- 20. 逃生在Sybase
- 21. 添加數據到JSP的顯示錶
- 22. jsp顯示標籤vs jquery數據表
- 23. 以jsp表格格式顯示數據
- 24. JSP:訪問枚舉JSP EL標籤內
- 25. JSP EL,JSF EL和統一EL之間的區別
- 26. Struts2在jsp文件上顯示json數據與報價
- 27. 如何使用javascript在jsp中顯示json數據
- 28. HTML數據:附件/ CSV - 逃生空間
- 29. JSONArray把數據提供額外逃生
- 30. 在jsp中迭代Hashmap並在動態生成表中顯示數據
你的意思是寫? –
bananasplit
我修改答案並添加更多解釋。 –
我花了最後三個小時試圖弄清楚爲什麼我的有效JSON字符串(在Spring Controller中)在將它分配給JSP中的一個JavaScript變量之後轉換爲無效的JSON字符串。經過一些故障排除和大量研究,我確信我必須逃脫無效符號,但找不到正確的方法,謝謝指出! – Repoker