jsp页面中输入框中怎么正确显示JS代码不报错
日期:2014-05-17 浏览次数:20626 次
jsp页面中输入框中如何正确显示JS代码不报错
比如JSP有个内容框,需要填写,如果里面写一个JS事件<img src="http://xxx.com/yyy.png" onerror="alert('XSS')"> 或者 ><script>alert(document.cookie)</script>,然后保存到数据库。
当下次再从数据库读出来时就会报错或者让页面显示不正常。
要实现的效果: 让这些代码原封不动的显示出来,又能让页面正常显示。
------解决方案--------------------
楼主遇到的问题是存入数据库里的页面代码存读时出错,说明你读取时和当前的代码混在了一起,所以会出错,如果保存成String或者别的类型,读取时注意转换类型就不会有什么问题。
------解决方案--------------------
特殊文字,转换一下。
比如这样
------解决方案--------------------
特殊文字转义
比如JSP有个内容框,需要填写,如果里面写一个JS事件<img src="http://xxx.com/yyy.png" onerror="alert('XSS')"> 或者 ><script>alert(document.cookie)</script>,然后保存到数据库。
当下次再从数据库读出来时就会报错或者让页面显示不正常。
要实现的效果: 让这些代码原封不动的显示出来,又能让页面正常显示。
jsp
数据库
------解决方案--------------------
楼主遇到的问题是存入数据库里的页面代码存读时出错,说明你读取时和当前的代码混在了一起,所以会出错,如果保存成String或者别的类型,读取时注意转换类型就不会有什么问题。
------解决方案--------------------
特殊文字,转换一下。
比如这样
str=str.replace(/&/g,"&");
str=str.replace(/</g,"<");
str=str.replace(/>/g,">");
str=str.replace(/\'/g,"'");
str=str.replace(/\"/g,""");
------解决方案--------------------
特殊文字转义
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
