- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
但是,在我的应用程序中,所有 jsps 都使用如下所示的 spring 表单标签,-6ren">
我们如何使用java和spring-mvc在应用程序中实现ESAPI输出编码。
读了很多帖子,看到了这个:
<%@ page import="org.owasp.esapi.*" %>
<input type="hidden" name="hidden" value="<%out.print(ESAPI.encoder().encodeForHTML(content));%>"/>
但是,在我的应用程序中,所有 jsps 都使用如下所示的 spring 表单标签,
<td>Number:
<form:input path="someNo" size="20" maxlength="18" id="firstfield" onkeypress="return PressAButton('submithidden');"/></td>
如何实现上述代码的 ESAPI 实现?有没有其他方法来实现输出编码,例如创建过滤器或其他东西?非常感谢任何建议!
最佳答案
在对 spring 标签进行了一些研究之后,似乎数据绑定(bind)发生在框架代码中,从而阻止您在 jsp 中应用任何转义。
其中一个半快速的胜利可能是默认所有输出以转义 HTML。在 web.xml 中添加此条目:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
这里唯一的问题是输出转义是一个很大的痛苦...当你的值将作为数据传递给 HTML 属性或 Javascript 函数时,html 转义的规则是不同的。您的应用程序的某些部分可能不希望进行 html 转义,但您应该能够使用表单标记属性 htmlEscape="false"
覆盖那些部分。当你需要的时候。
您需要的是能够 Hook Spring 标记将 HTML 绑定(bind)到表单的部分,但您需要能够做到这一点,以便您可以根据其放置位置进行转义。 HTMLAttribute 的转义规则与纯 HTML 不同,并且如果值将作为数据传递给 JavaScript 函数,则转义规则也不同。所以Spring的解决方案只防御一类攻击。
这些是我看到的唯一出路,所有这些都需要工作:
使用 JSTL 标记而不是 Spring 标记,以便您可以使用 ${thisSyntax}
编写变量并将它们包装在 esapi 标签中,如下所示:
<c:out value="<esapi:encodeForHTML>${variable}</esapi:encodeForHTML>"/>
遵循 @A 之类的解决方案。 Paul 提出,您可以在 Controller 端将上下文转义回来。我知道您认为这不是一个选择,但我提出的下一个解决方案未经测试。
实现您自己的标记库,该标记库是 [org.springframework.web.servlet.tags.form.InputTag][1]
的子类,具体来说是方法 writeValue
。虽然 esapi 阻止了很多,但我建议查看 owasp 的 new Encoder projec t 向您展示输出编码到底有多么棘手。理想情况下,您的标签库将允许您使用 esapi 的编码器或这个新的 API。
关于java - spring 表单标签的 ESAPI 实现,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21164915/
所以我使用一个带有整个 block 的标签作为链接,它是一个产品展示,所以你点击它会转到产品页面。现在我创建了一个标签作为链接到购物车页面的按钮。所以我让它工作,但是当我点击购物车按钮时,两个页面都会
根据 Web 标准,创建带有标题 1 的链接的正确代码是什么? 是吗 stackoverflow 或 stackoverflow 谢谢 最佳答案 根据网络标准,您不能将 block 元素放入内
在Java中它是这样写的..当我移植这段代码时...意识到没有这样的东西 break 和continue . 我知道这些命令没有包含在内,因为在使用带有命令的 goto 时必须有一种更简洁的方法来执
我们有一个相当标准的发布过程,使用 Visual Source Safe 在发布之前标记构建。这允许我们在出现任何问题时从该标签中获取,并在需要更改时使用它进行分支。 我们有几个不同的项目,并且总是使
我必须创建一个搜索内容,其中包含搜索框、标题和段落描述。默认情况下,描述被禁用,当我输入一些与描述文本匹配的文本时,描述段落标签应该打开。一些匹配的演示是这样的: [ fiddle ][1] 但默认情
我一直在阅读有关 的文档标签,我似乎无法理解它与简单地使用 有何不同那是 display: none; 文档:template tag 例子 对比 例子
我需要一个脚本来复制当开关按钮打开时标记,当开关按钮关闭时删除标记。我需要一个简单的方法。这是开关按钮: 我试过这个: var change
JSF 是一个 MVC 框架,但我很困惑为什么我们已经有了这么多 HTML 标签还需要 JSF 标签。毫无疑问,JSF 简化了很多事情。我想进一步了解 JSF 中的模型 View 和 Controll
我在这个 website 上看到了那些 html 代码: Homepa
我添加了 photoswipe 插件,可以使用 搜索我的所有照片。标签,如果点击,照片就会变成全屏。我让它工作了,但现在我的导航栏(有 标签)在点击时会触发 photoswipe 插件。 在 ph
标签
我正在尝试截断显示自 的文本标签,但它不工作。我将样式应用于其他标签样式并且它确实有效(我看到的示例中没有一个使用 标签)。我想知道是否有人可以向我解释为什么会这样(我不是最擅长 HTML/CSS
HTML 是这样的: Menu 1 Menu 2 Sub menu 2
我可以更改 TextInputLayout 的位置 float 标签(底部 float 标签)吗?我需要为波纹管 float 标签设置正确的位置。 最佳答案 我解决了我的问题,这是我的 xml:
我的代码是 printMsg : function(data) { $("#message").html(data.bodyText); ... } 这里 data.body
我是 Scrapy 和 Xpath 的初学者,我正在寻找解析具有以下结构的网站 cat1 value1 value2
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 要求提供代码的问题必须表现出对所解决问题的最低限度理解。包括尝试过的解决方案、为什么它们不起作用,以及
我必须从 xml 中解析数据。这是我的 xml- 或者它的 url 是:http://mobileecommerce.site247365.com/admin/catdata.xml News f
如何创建应该允许多行数据的标记。不要说使用textarea标签。我知道,但我只想 标记因为标签具有 value 属性。所以当我从 xml 文件获取值时,我应该使用 jquery 语法动态获取.. 最佳
我有一个页面使用我定义的某些样式。 在同一页面上,我刚刚导入了一个使用自己样式的外部 jQuery 插件,例如,包括 。被我自己覆盖的标签样式。 如何确保我的样式表中的样式不会覆盖 jQuery 插件
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我是一名优秀的程序员,十分优秀!