私は呼び出すとHttpServletRequest.setAttribute(name, string)
などHttpServletRequest.setAttributeは()のASCII文字に変換
コンテンツが変換されないように回避策は何ですかASCIIコンテンツ属性文字列の<
が<
に変換されるような、?コンテンツをjavacript confirm()
に表示したい
更新: 文字列は、それだけで地図にオブジェクトを配置し、コンテンツをエスケープしません<c:out>
私は呼び出すとHttpServletRequest.setAttribute(name, string)
などHttpServletRequest.setAttributeは()のASCII文字に変換
コンテンツが変換されないように回避策は何ですかASCIIコンテンツ属性文字列の<
が<
に変換されるような、?コンテンツをjavacript confirm()
に表示したい
更新: 文字列は、それだけで地図にオブジェクトを配置し、コンテンツをエスケープしません<c:out>
setAttributeメソッドを使用して出力されます。おそらくあなたのテンプレートエンジンがそれを行います。
私の知る限り、そのような変換は、java.lang.Objectのをhttp://tomcat.apache.org/tomcat-5.5-doc/servletapi/javax/servlet/ServletRequest.html#setAttribute(java.lang.String、java.lang.Object)メソッドまたはhttp://download.oracle.com/javaee/6/api/javax/servlet/ServletRequest.html#setAttribute(java.lang.Stringを見ていないがあります)
あなたはより多くのコンテキストを提供することができますか?
<c:out>
には、XMLエスケープを有効にする属性があります。デフォルトでは面白いですが、それは本当です。以下は、XMLエスケープを無効にする例です。
<c:out value="${user.company}" escapeXml="false"/>
はい、それは面白いです。そして、奇妙な。 –
これは適切なことです。それ以外の場合は、JSPベースのアプリケーションの95%がXSSに脆弱です。 – cherouvim
私はstruts1 +タイルを使用します。彼らはそれをすると思いますか?ありがとう。 –
おそらくはい。変数をどのように出力しますか? – cherouvim
「」 –