JSTLでEL式を使用する

Question

XSSの脆弱性を修正するコードがいくつか用意されています。 タスクは、現在のコードJSP式をすべて安全にエスケープすることです。

私はこれを行うためにJSTLを使用しています。私はリファクタリングの自由を持っておらず、ただ安全にしています。ロジックと変数は私が変更できないスクリプトレットにあります。

これを行うにはどのような方法が最適ですか？

次は実行可能な解決策ですか？後

<% String myVar = "string" %> 
<%= myVar %> 

：：前

<% String myVar = "string %> 
<c:out value="<%= myVar %>"/> 

Answer 1

は、あなたができる限りスクリプトレットを避け、JSTLに変換します。

<c:set var = "myVar" scope = "session/request/page (not required and page is default)" value = "string-value"/> 
<c:out value = "${myVar}"/>