防止EL表达式输出执行js脚本

最新推荐文章于 2021-10-03 11:27:42 发布
原创 最新推荐文章于 2021-10-03 11:27:42 发布 · 252 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#el执行js

本文介绍了在Struts框架中如何正确使用EL表达式避免执行JS代码的问题,并给出了解决方案。同时,还讨论了当EL表达式尝试访问不存在的属性时可能出现的异常及其原因。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(一)

1,Struts标签,要注意采用C:out输出,防止“意外执行JS代码”:
<%--  <input type="hidden" class="go_link" value='<s:url value="/data/uploadList/0?path=${path}" />' /> --%>

<%-- <input type="hidden" class="go_link" value="<s:url value='/data/uploadList/0?path=<c:out value="${path}" />' />" /> --%>

 正确的写法,不会执行js,防止跨站
<input type="hidden" class="go_link" value='<s:url value="/data/uploadList/0?path="/><c:out value="${path}" />' />

 

(二)
Property 'url' not found on type org.bgi.springmvcdemo.domain.User
javax.el.PropertyNotFoundException: Property 'url' not found on type org.bgi.springmvcdemo.domain.User
出现这个错误的原因是 User 没有url这个属性,但是你却是用 el表达式输出,所以报错!

jsp页面完全加载完成后执行一个js函数
qq_43685588的博客
02-09 789
jsp页面完全加载完成后执行一个js函数
自定义EL函数防止HTML注入
参与感
04-03 2303
我们先来看看没有自定义EL函数时是怎么HTML注入的。 首先,我们定义一个jsp页面用于搜集用户提交的表单数据 用户名: 留言:      我们让表单数据提交给ResultServlet来处理,所以我们定义一个servlet来处理数据 import java.io.IOException; import java.io.PrintWriter; import
js文件中el表达式执行
arashidemember的博客
04-12 604
jsp内部的js脚本,可以使用el表达式el表达式是在服务端执行的,而js是在客户端执行的,eljs前就被执行。问题描述:让jsp外部引入的js文件中也可以使用el表达式,让js先于el执行解决方案:1  .把js文件命名为.jsp文件就可以了,这样里面el就能运行。举例:  &lt;script src="myjs.jsp" type="text/javascript&gt; &lt;/sc...
JS执行 EL 表达式
我是小兵
04-21 340
目的: 执行 EL 表达式 场景 给定一个数据 获取内容 - 环境作用域 {a:1,b:{a:1},c:[{a:1},{b:2}]} ${a}=>1 ${a===1}=>false ${a===1 ?'是':'否'} => 是 // 对象数组类型 ${b}=>{a:1} ${c}=>[{a:1},{b:2}] 方案1:模板字符串 不满足 模板字符串,最终返回的字符串 ,不能满足我们的诉求 方案2:自定义作用域链,执行返回 f
通过修改EL表达式输出行为解决XSS问题
0x7c00
08-20 5864
项目中有好多通过EL表达式输出字符时没有考虑XSS问题,比如<div> <span>${user.name}</span> </div>简单来说,可以使用jstl标签来显示就好了:<div> <span><c:out value="${user.name}"/></span> </div>问题是,系统中非常多地方都存在这种问题,要一一修改工作量简直就是灾难啊。 我想到的办法是,改变EL表达式输出
jsel表达式的使用和非空判断方法
12-03
在JavaScriptJS)中,EL(Expression Language)表达式通常用于服务器端的JSP页面,以便与Java服务器端的数据交互。然而,在这个场景下,我们讨论的是如何在...同时,确保EL表达式被正确的引号包围,以防止语法错误。
js文件中写el表达式取不到值的原因及解决方法
10-26
- JavaScriptEL表达式执行时机不同:JavaScript是在客户端执行脚本语言,而EL表达式是在服务器端执行的。当客户端的JavaScript代码开始执行时,服务器端的EL表达式已经完成了解析和值的传递。因此,在...
JSTL以及EL表达式所需jar包
09-23
EL表达式的语法类似于JavaScript,但它的主要目的是提供一种声明式的方式来获取和设置JavaBeans属性。例如,`${user.name}` 就可以用来获取名为"user"的bean的"name"属性。EL表达式简化了页面中的脚本代码,提高了...
JSP EL表达式详细介绍
10-29
JSP2.0标准中,EL表达式成为了一种新的脚本编制元素。 ### 7. 集合和映射 EL表达式还支持访问Java中的集合对象,如`List`、`Map`等,使得在JSP页面中处理复杂数据结构变得简单。 ### 8. 函数调用 EL表达式允许...
关于EL表达式被当做字符串输出的问题
qq_50504109的博客
10-03 369
1、关于EL表达式被当做字符串输出的问题 这个时候我们只需要在JSP最上面加上一行代码就可; <%@ page isELIgnored="false" %>
<c:out />的理解
weixin_30470857的博客
06-14 135
<c:out value="<string>" default="<string>" escapeXml="<true|false>"/>示例: <c:out value="<c:out" value="示例输出"><br>"/> <c:out value="<c:out value="...
js防止注入实现
乐夫天命兮的博客
12-25 3611
前端给后台传json格式参数,输入字段向后台传参时前端要做防止注入。 html转义是将特殊字符或html标签转换为与之对应的字符。如:&lt; 会转义为 &amp;lt;&gt; 或转义为 &amp;gt;像“&lt;script&gt;alert('test');&lt;/script&gt;”这段字符会转义为:“&amp;lt;script&amp;gt;alert('test');&amp;...
EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号
永动机的白
12-10 2638
问题: 最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题: 如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变. 此处说明HTML标签被解析了,让我们看看出现问题的代码 <div class="content"> <div class="message"> <div class="tmenu...
掌握EL表达式:简化JSP代码的利器
另外,EL表达式不支持执行Java代码,这意味着不能在EL表达式中直接使用方法调用,除非这些方法是JavaBean的属性或者EL内置函数提供的。对于需要执行复杂逻辑的地方,仍然需要依赖于JSP脚本元素或自定义标签。 知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值