0

XSS の脆弱性を阻止する必要があるという問題があります。ここでの典型的な例は次の vulnerable.jspとおりです。

 <h2><%= myObj.getElf() %></h2>

は、jsp ファイルで作成したmyObjのオブジェクトです。kObj class

<% kObj myObj = KSession.getPostInfo(session); %>

ここでの問題は、このフレームワークで use Bean が使用されていないことです。その結果、コア JSTl の使用が面倒になり、機能しなくなります。たとえば、私がやろうとするとき:

<h2><c:out value={$( myObj.elf)} /></h2>

elf機能せず、.演算子を持つオブジェクトに値がないことを教えてくれます。

kObjクラスも厳密には POJO ではありません。 誰かが私がここでできることを提案できますか?

4

1 に答える 1

1

コードで示されている JSTL タグは EL を使用します。EL で使用されるオブジェクトは、リクエスト、セッションなどの既知のスコープの 1 つにある必要があります。そのため、EL 式では、myObj ではなく、インスタンスが実際にセッションに格納されたキーを使用してみてください。

HTTPセッションからオブジェクトを取得しているようですが、KSessionが何であるかはわかりませんが、セッションマップから内部的に取得すると想定しています。オブジェクトがセッション マップに格納される実際のキーが「myObjKey」であると仮定します。したがって、「${myobj.elf}」を使用する代わりに、「${myObjKey.elf}」を使用します。

于 2013-05-17T13:15:23.480 に答える