나는 호출하면 HttpServletRequest.setAttribute(name, string) 등HttpServletRequest.setAttribute()를 아스키 문자로 변환
내용이 변환되지 않도록 해결 방법은 무엇입니까 ASCII의 콘텐츠 속성 문자열의 <이 <로 변환됩니다 같은? 콘텐츠를 자바 스크립트 confirm()에 표시하고 싶습니다.
업데이트 : 문자열은 그냥지도에 객체를 배치 콘텐츠를 탈출하지 않습니다 <c:out>
의 setAttribute를 사용하여 출력됩니다. 대부분의 경우 템플릿 엔진이이를 수행합니다.
AFAIK, 이러한 변환이
이 더 많은 컨텍스트를 제공 할 수 http://tomcat.apache.org/tomcat-5.5-doc/servletapi/javax/servlet/ServletRequest.html#setAttribute(java.lang.String, java.lang.Object 상위) 또는 http://download.oracle.com/javaee/6/api/javax/servlet/ServletRequest.html#setAttribute(java.lang.String, java.lang.Object 상위를) 볼이?
<c:out>에는 XML 이스케이프를 사용할 수있는 속성이 있습니다. 그리고 기본적으로 흥미 롭습니다. 다음은 XML 이스케이프를 비활성화하는 예입니다.
<c:out value="${user.company}" escapeXml="false"/>
예, 흥미 롭습니다. 그리고 이상한. –
할 일이 적절합니다. 그렇지 않으면 모든 JSP 기반 응용 프로그램의 95 %가 XSS를 취약하게 만듭니다. – cherouvim
저는 struts1 + 타일을 사용합니다. 그들이 그걸한다고 생각하니? 감사. –
아마도 그렇습니다. 변수를 어떻게 출력합니까? – cherouvim
' ' –