我在下面的行中遇到验证码问题
<input type = "hidden" name = "studentName" value = "<%=viewBean.getStudName()%>">
问题出在<%=viewBean.getStudName()%>
在这里,报告的问题是“网页中与脚本相关的 HTML 标记的不正确中和(基本 XSS)。我已经尝试了 cwe.mitre.org 中给出的修复,但我无法正确应用它。任何人都可以帮助解决这个问题吗?解决问题?
【问题讨论】:
使用
<c:out value=${viewBean.studName}/>
而是转义XML
【讨论】:
根据CWE,
软件从上游组件接收输入,但它确实 不中和或错误中和特殊字符,例如 "" 和 "&" 可以解释为 Web 脚本元素 当它们被发送到处理网页的下游组件时。
你需要对html进行转义,如果你按照@jigar的建议使用jstl标签就可以了。
关于 SO 的一些信息即将修复错误,
【讨论】:
在jsp中包含下面的jstl taglib
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions" prefix="fn" %>
并使用
value="${fn:escapeXml(viewBean.getStudName())}"
如果使用JSTL核心<c:out/>,可以使用escapeXml="true"来避免XSS。
【讨论】:
您需要在打印值时使用 html 编码。所以它给出了错误。所以它应该被编码为 value = "">
您需要导入 org.owasp.esapi.ESAPI 和 org.owasp.esapi.Encoder。
这肯定会解决问题..
【讨论】:
<input type = "hidden" name = "studentName" value = "<%=StringEscapeUtils.escapeHtml(viewBean.getStudName())%>">
这样使用。它现在按照@Jigar Joshi 和@San Krish 的建议工作
【讨论】: