iT邦幫忙

0

JSTL & Expression language

jsp jstl el java
airspacewalker1988 2019-05-20 11:30:332203 瀏覽

  • 分享至 

  • xImage 
<select id="selectItem">							
		<c:forEach items="${sessionScope.XXX}" var="item">
								<option value="${item.map['TYPE']}">${item.map['TYPE']}</option>
		</c:forEach>						
</select>

以上是JSP的部分程式碼,是一個下拉式選單(確定可以WORK)
現在我想要用apache commons-lang提供的StringEscapeUtils.escapeHtml()方法去處理${item.map['TYPE']}有可能造成的XSS攻擊(弱點掃描掃到 那行有可能遭到攻擊)
小弟對EL JSTL不太熟稔
想請問程式碼該怎麼改?

*補充
一般來說我會這樣處理可能造成的XSS攻擊(title的str原本有XSS風險,所以在宣告變數時加上StringEscapeUtils.escapeHtml())
<%
String str = StringEscapeUtils.escapeHtml(container.getXXX(request));
%>

<html>
	<head>
		<title><%=str %></title>
    </head>
 </html>

我的想法很簡單,想把可能造成XSS風險的程式碼丟進去StringEscapeUtils.escapeHtml()裡,不過
<%=StringEscapeUtils.escapeHtml(${item.map['TYPE']})%> 這樣寫似乎是不行的

fillano iT邦超人 1 級 ‧ 2019-05-21 09:11:44 檢舉
通常是在資料進到後端時處理吧,放在這裡看起來有點怪。
Rex Chien iT邦新手 4 級 ‧ 2019-05-21 09:18:34 檢舉
試試看這樣?
${org.apache.commons.lang3.StringEscapeUtils(item.map['TYPE'])}
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙