JSP中的Spring eval url代码问题
我有一个JSP页面,我从下面的属性文件中获取URL-
<spring:eval expression="@environment.getProperty('url.home')" var="homeUrl" />
它的用法如下-
<a target="_blank" href='${homeUrl}'>
<span>Home</span>
</a>
我收到了veracode问题CWE-80(网页中与脚本相关的HTML标记的不正确中和),用于href=“${homeUrl}”。
有什么更好的方法可以解决这个Veracode问题?
共有1个答案
对于您的场景,使用jstl标记,例如。
<a target="_blank" href="<c:url value='${homeUrl}' />">
<span>Home</span>
</a>
-
我在下面的行中得到了veracode问题 问题出现在上,这里报告的问题是“网页(基本XSS)中与脚本相关的HTML标记的不正确中和。我尝试了CWE.mitre.org中给出的修补程序,但无法正确应用。有没有人可以帮助解决这个问题?
-
除了通过JSP表达式在JSP页面中嵌入Java代码外,还可以通过<% ... %>在JSP页面中直接嵌入Java代码。所有写在<% ... %>之间的内容JSP编译器都会将其认为是Java代码,并直接将其插入由JSP页面生成的Servlet类的_jspService方法中,如下面的JSP代码: <% int n = (3 + 4) * 5; %> 上面的代码在JSP页面中嵌入了一行非常简单
-
问题内容: 我是Java EE的新手,我知道类似以下三行内容 这是一种古老的编码方式,在JSP版本2中,存在一种避免在JSP文件中使用Java代码的方法。什么是替代JSP 2行,该技术称为什么? 问题答案: 自从2001年标签库(例如JSTL)和EL(表达语言,那些东西)的诞生以来,在JSP中确实不建议使用scriptlet(那些东西)。 scriptlet的主要缺点是: 可重用性:您无法重用sc
-
我使用Eclipse和Glassfish从jsp/servlet中获取无效字符。 如果我输入“Pêche”,我会得到“Pêches”。这就是编码问题。我试了几次思考,但都没用。 我尝试添加过滤器(JSP中的编码问题) 我尝试在web.xml中添加jsp属性(在glassfish 3.1中无法将字符集从ISO-8859-1更改为UTF-8) 我试图改变字符编码我自己在java代码request.s
-
问题内容: 有人可以在以下代码中解释问号吗?INITIAL_PERMANCE也是代码中的静态最终常量,但是synatax的最后一行叫什么? 问题答案: ?和:是Java条件运算符的一部分。有时称为三元运算符,因为它是Java中唯一带有3个参数的运算符。 这本质上是一个内联IF / THEN / ELSE块。 可以重写如下: 条件运算符的一般形式是
-
有人能解释下面代码中的问号吗?同样,INITIAL_PERMANCE是代码中的一个静态最终常量,但synatax的最后一行是什么?