在JSTL中使用EL表達式

Question

我已經給出了一些代碼來修復XSS漏洞。 一個任務是安全地轉義所有當前的代碼JSP表達式。

我使用JSTL來做到這一點。我沒有重構的自由，只是爲了保證安全。邏輯和變量在一個我不能改變的scriptlet中。

這樣做的最好方法是什麼？

下面是一個可行的解決方案。

前：

<% String myVar = "string" %> 
<%= myVar %> 

後：

<% String myVar = "string %> 
<c:out value="<%= myVar %>"/> 

Answer 1

避免小腳本不亞於您可以和它們轉換成JSTL。你可以這樣做：

<c:set var = "myVar" scope = "session/request/page (not required and page is default)" value = "string-value"/> 
<c:out value = "${myVar}"/>