c:aus verschachtelten innen-element-Attribut

Brütet ein c:out JSTL-Tags in einem element-Attribut eine gute Praxis oder wird mithilfe der var-Attribut von c:aus in der Regel bevorzugt? Es scheint zu funktionieren, aber ich vermute, nesting, es funktioniert möglicherweise nicht in einigen application Servern oder Versionen von JSP (und es sieht einfach falsch).

Zum Beispiel ein input-element, das seinen Wert wiederhergestellt Validierung scheitern, und mit Sonderzeichen mit Escape:

<input type="text" name="firstname" value="<c:out value="${param.firstname}"/>"/>

versus:

<c:out value="${param.firstname}" var="firstname"/>
<input type="text" name="firstname" value="${firstname}"/>

InformationsquelleAutor Ryan | 2011-10-14

15

Die gängige Praxis, um zu verhindern, XSS-Angriffe im HTML-element Attribute, ohne die Wohlgeformtheit der XML-syntax durch eine verschachtelte <c:out> tag mit fn:escapeXml() - Funktion statt:
```
<input type="text" name="firstname" value="${fn:escapeXml(param.firstname)}"/>
```
- Hmmm, wie es scheint, gibt es keinen guten Grund, immer mit c:dann raus?
- Nicht in HTML-element Attribute, keine. Außerhalb, das hängt davon ab. Die <c:out value="${bean.foo}" /> ist für einige Entwickler lesbarer als ${fn:escapeXml(bean.foo)}. Alternativ können Sie auch voran zu gehen mit einem MVC-framework wie JSF, so dass Sie nie brauchen, um über diese (und alle anderen wiederholt boilerplate in servlets).
- Wie wird es mit CR-LF in der Attribut ?
InformationsquelleAutor BalusC
0

Normalerweise verwende ich die ${} überall, wo ich kann. Es ist einfacher und lesbarer zu gestalten. Ich benutze <c:out> wenn ich die zusätzliche Funktionalität, wie die escapeXml Funktion.

In Ihrem Beispiel, Sie bekommen konnte Weg mit keine <c:out>:
```
<input type="text" name="firstname" value="${param.firstname}"/>
```
Edit: XSS-Problemen

Meine Antwort wird nicht auf die XSS-Löcher, die BalusC und StuartWakefield erwähnen. Obwohl meine Antwort ist vordergründig richtig, man sollte wirklich immer mildern XSS-Löcher. Ich benutze lieber die OWASP-taglib.
```
<span>${esc:forHtml(sketchyText)}</span>
<span><esc:forHtml(sketchyText)/></span>
<input value="${esc:forHtmlAttribute(sketchyText)}"/>
```
- Dies funktioniert nur in JSP 2.0 und neuer, das sollte kein problem sein heute, aber das stellt nur eine Breite XSS-Angriff Loch öffnen...
- Ist das irgendwo dokumentiert? Ich würde gerne mehr Lesen über es, und ich kann nicht begreifen, warum die Verwendung von ${} direkt in ein HTML-Attribut würde dazu führen, dass ein XSS-Angriff...
- Wenn Sie verwenden die '@{username}' in Ihrem Kommentar, es wird eine Benachrichtigung senden, BalusC. Ansonsten werde er wohl vermissen Ihren Kommentar.
- Danke, ich lasse @BalusC jetzt wissen!
- Mein Freund Vorname ist "/><script>/*xss here*/</script><img src="lolcatz.jpg"... Einige andere Sicherheitsmaßnahme kann die Aufnahme von diesem Fall, bevor wir uns auf den input, sondern es ist denkbar, diese zu umgehen. In jedem Fall mit der code über fehlerhafte doppelten Anführungszeichen in der " firstname "break out" von dem HTML-Attribut. Sie entweichen sollte es für den Kontext sind Sie es Ausgabe, d.h. eine Funktion escapeHtmlAttribute ideal wäre ${fn:escapeXml(person.firstname)} ist ausreichend.
- Bitte sagen Sie mir, Sie wirklich wissen, jemand mit diesem Namen. Ich dachte, es war nur Mythos. Zum Glück habe ich gelernt, viel mehr über XSS-seit der Veröffentlichung dieser Antwort.
InformationsquelleAutor RustyTheBoyRobot

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.

Edit: XSS-Problemen