1. Accueil
  2. Question et réponse
  3. Comment utiliser getParameter dans jsp en toute sécurité

Comment utiliser getParameter dans jsp en toute sécurité

2011-02-02 3 views
1

J'utilise getParameter pour obtenir du contenu de l'URL vers la page.Comment utiliser getParameter dans jsp en toute sécurité

<p>name <%= request.getParameter("name") %></p>


Qu'est-ce que je schould contenu éviter (ex. Les balises de script)?
Comment dois-je le valider?

Je travaille dans JSP.

EDIT:
Pour aujourd'hui, je bande juste balises html: 

variable.replaceAll("\\<.*?>","");

Source

2011-02-02 czerasz

+0

Duplicata: http://stackoverflow.com/questions/tagged/jsp+xss. – BalusC

Répondre

1

Vous ne devriez pas utiliser scriptlet dans jsp son pas une bonne pratique

<p>name <c:out value='${param.name}'/> </p>

vous devez prendre soin de XSS attackc:out va s'échapper xml

Pour éviter l'injection javascript, vous pouvez utiliser StringUtils.escapejavaScript()

Source

2011-02-02 08:01:56

+0

Ça ne marche pas "chez moi". Quand je passe dans mon URL var =% 3Cscript% 3Ealert ('true')% 3C% 2Fscript% 3E le script s'exécute. – czerasz

+0

mis à jour // caractères supplémentaires –

+0

c: out devrait fonctionner. – BalusC

Questions connexes

 Questions connexes