У меня есть следующая строка кода в JSP файле в моем веб-приложении, которая дает ошибку:
<jsp:setProperty name="db" property="userName" value="<%=request.getParameter("userName")%>"/>
Сообщение об ошибке, которое я получаю:
org.apache.jasper.JasperException: /loginbean.jsp(6,59) Значение атрибута request.getParameter( "userName" ) является цитата с ", которая должна быть экранирована при использовании в пределах значения
То, что я читал на некоторых сайтах, состоит в том, что символы, такие как ' (одинарная кавычка) или " (двойная кавычка), должны быть префиксами с escape-последовательностью \ (обратная косая черта), если они будут использоваться.
Однако, когда я пытаюсь и префикс двойных кавычек (вокруг слова userName) с обратной косой чертой, я сразу получаю следующую ошибку: "Незаконный символ \92- Незакрытый строковый литерал"
Как решить эту проблему?
Вы должны использовать одинарные кавычки в параметре value, то есть:
value='<%=request.getParameter("userName")%>'
или установите для параметра org.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING значение false, как описано здесь:
http://blogs.sourceallies.com/2009/10/strict-quote-escaping-in-tomcat/
Если вы не хотите изменять свои JSP, просто установите:
org.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING=false
в вашем файле {TOMCAT_ROOT}/conf/catalina.properties. Работает как шарм!
Kudos отсюда.
Это может быть исправлено с помощью IDE Regexp Replace:
(<\w+:(?:[^>]|<%=[^%]+%>)+=)"([^<"]*<%=[^%]*"[^%]*%>[^"]*)"
Для текста замены введите:
$1 '$ 2'
Если вы используете Tomcat 8.5+, свойство org.apache.jasper.compiler.Parser.STRICT_QUOTE_ESCAPING=false
не будет подтверждено.
Мне удалось успешно установить свойство в {TOMCAT_ROOT}/conf/web.xml, добавив следующее в блок <servlet>:
<init-param>
<param-name>strictQuoteEscaping</param-name>
<param-value>false</param-value>
</init-param>
Пример выглядит как пример XSS! Это уязвимость системы безопасности. Я предлагаю создать библиотеку кодирования html, такую как тег c: out или http://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/org/owasp/esapi/Encoder.html#encodeForHTMLAttribute%28java.lang.String%29
Я также предлагаю взять имя пользователя из аутентифицированного сеанса и не формировать параметр запроса, если это возможно (если только это не только форма входа/регистрации)
если вы используете "как разделитель сценариев", вы не можете использовать какой-либо элемент в качестве разделителя свойств в getParameter. Поэтому измените разделитель скриптлета на ". Как параметр тега, я думаю, что там не будет проблем. заменить:
value = "<% = request.getParameter(" имя_пользователя ")% > " /" >
:
value = '<% = request.getParameter( "имя_пользователя" )% > '/" >
I случай Фаза проверки Jasper JSP используется во время сборки проекта.
Так как Tomcat 8 имеет новый атрибут strictQuoteEscaping для задачи Ant и переключатель - no-strictQuoteEscaping для запуска org.apache.jasper.JspC из командной строки.