java在JSTL中使用EL表达式

9 月，1 周 Questions & Answers 202

我得到了一些代码来修复XSS漏洞。一项任务是安全地转义所有当前代码JSP表达式

我正在使用JSTL来实现这一点。我没有重构的自由，只是为了安全。逻辑和变量在脚本中，我无法更改

最好的方法是什么

以下是一个可行的解决方案

之前：

<% String myVar = "string" %>
<%= myVar %>

之后：

<% String myVar = "string %>
<c:out value="<%= myVar %>"/>

Tags:

尽量避免使用Scriptlet，并将其转换为JSTL。你可以这样做：

<c:set var = "myVar" scope = "session/request/page (not required and page is default)" value = "string-value"/>
<c:out value = "${myVar}"/>