Как я могу избежать значения в пользовательском обработчике тега JSP?

Это одно из моих полей в одном из моих jsp-файлов:

<input class = "form-input" id = "login" type = "text" name = "login"
  <c:choose>
    <c:when test = "${action == 'edit' && userToEdit != null}">value = "${userToEdit.login}"</c:when>
    <c:when test = "${userFromForm != null}">value = "${userFromForm.login}"</c:when>
    <c:otherwise>value = ""</c:otherwise>
  </c:choose>
<c:if test = "${action == 'edit'}">readonly = "readonly"</c:if>>

При добавлении пользователя имя входа доступно для записи и не защищено от XSS-атаки. Могу ли я как-нибудь спастись от userToEdit.login и userFromForm.login? Насколько я знаю, в основном я мог бы использовать для этой цели c:out или fn:escapeXml() (например, с переменной). Для последнего я попробовал что-то вроде этого:

<c:set var = "loginValue" value = "${userToEdit.login}"/>
<c:set var = "loginValueForm" value = "${userFromForm.login}"/>

Внутри выберите:

<c:when test = "${action == 'edit' && userToEdit != null}">value = "${fn:escapeXml(loginValue)}"</c:when>
<c:when test = "${userFromForm != null}">value = "${fn:escapeXml(loginValueForm)}"</c:when>

В случае c:out я попробовал что-то вроде этого

<c:choose>
  <c:when test = "${action == 'edit' && userToEdit != null}">value = "<c:out value = "${userToEdit.login}"/>"</c:when>
  <c:when test = "${userFromForm != null}">value = "<c:out value = "${userFromForm.login}"/>"</c:when>
  <c:otherwise>value = ""</c:otherwise>
</c:choose>

или что-то вроде этого:

<c:choose>
  <c:when test = "${action == 'edit' && userToEdit != null}">value=<c:out value = "${userToEdit.login}"/></c:when>
  <c:when test = "${userFromForm != null}">value=<c:out value = "${userFromForm.login}"/></c:when>
  <c:otherwise>value = ""</c:otherwise>
</c:choose>

Ни один из них не работал. Если я укажу имя входа, например <script>alert("test")</script>, скрипт запустится без проблем. Я пробовал другие возможности, но не нашел правильного синтаксиса (если проблема в синтаксисе). Я делаю что-то очень неправильно.

Обновление: решено. Возможно, я просто был глуп, потому что мне пришлось решать эту проблему где-то в другом месте. Когда я добавлю этот скрипт, он перейдет на страницу со списком пользователей. Пользователи перечислены с помощью пользовательского тега и принадлежащего ему класса Java. Итак, в другом jsp есть следующие части:

<%@ taglib prefix = "custom" uri = "mytags.tld" %>

<custom:userList />

userList использует UserList.java (расширяет TagSupport), и мне пришлось предотвратить XSS-атаку там. Там я использовал это:

Текст Apache Commons и StringEscapeUtils.escapeHtml4 от этого.

Как будет выглядеть окончательный HTML-код, если вы используете fn:escapeXml()? Например, когда вы изучаете DOM, что там?

— 04.07.2024 21:55

Извините, я не понимаю вопроса, я очень новичок. Внутри моего jstI есть форма, использующая POST, и внутри этого входа находится одно из моих текстовых полей. Когда я попытался использовать fn:, это было похоже на тот, что в этом вопросе, он был изменен в тех частях, как написано в вопросе выше. Где-то до этой части была определена переменная 2, как я написал в вопросе выше. Извините, если моя формулировка запутанна. Я добавил скриншот о проблемной части.

— 04.07.2024 22:59

Я также попробовал просто поместить туда fn вот так: <c:when test = "${action == 'edit' && userToEdit != null}">value = "${fn:escapeXml(userToEdit.login)}"< /с:когда>

— 04.07.2024 23:12

Решено. Я положил свое решение в конец вопроса. Не могу сказать, может ли это быть кому-то полезно. Но возможно. Я просто пока оставлю это здесь. Пожалуйста, удалите его, если его здесь не должно быть, или дайте мне знать, что мне следует его удалить.

— 05.07.2024 00:56

В следующий раз опубликуйте минимально воспроизводимый пример, чтобы люди лучше поняли, что вы на самом деле делали.

— 05.07.2024 12:31

Также решения следует публиковать как ответы, а не как часть вопроса 👍🏻

— 05.07.2024 14:19

jsp xss tag-handler

04.07.2024 21:01

Стоит ли изучать PHP в 2023-2024 годах?

Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...

Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией

В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.

Приемы CSS-макетирования - floats и Flexbox

Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...

Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest

В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...

Концепция локализации и ее применение в приложениях React ⚡️

Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...

Пользовательский скаляр GraphQL

Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...

Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Вы просто путаете XSS с экранированием вывода HTML. Если вы используете <c:out> или ${fn.escapeXml()}, это предотвращает отображение XSS. Теги и выражения EL выполняются на сервере. Он не выполняется сразу после ввода тега <script> в поле ввода формы. Но он отправляется на сервер для рендеринга.

Вы можете использовать любые escape-утилиты, чтобы избежать вывода тегов html, кода js и xml в ответ.

Для дальнейшего чтения см. Межсайтовый скриптинг (XSS).

На самом деле был получен ответ: ОП хотел предотвратить XSS, но не отладил код, чтобы увидеть, где появляется скрипт.

— 05.07.2024 14:10

05.07.2024 11:21