当前位置: 文江博客话题详情

在 JSP 页面中呈现未转义的 HTML

发布于 2024-12-09 01:54:07 字数 143 浏览 0 评论 0原文

我在数据库中有一个包含 HTML 文本的字段,我需要将其打印到 JSP 页面中。我怎样才能渲染 HTML?使用 我可以看到带有 HTML 标签的文本。换句话说,它正在转义 HTML。

原文

I've a field on a DB that contains an HTML text and I need to print it into a JSP page. How can I render the HTML? Using <c:out value="${text}" /> I can see the text with HTML tags. In other words, it is escaping the HTML.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

尤怨 2024-12-16 01:54:07

默认转义 XML 实体 <>&、< code>" 和 ' 来防止 XSS 攻击。

因此,要解决您的问题,要么不使用 (适用于 JSP 2.0 及更新版本):

${text}

或添加escapeXml="false" 属性

<c:out value="${text}" escapeXml="false" />

您只需要确保此 HTML 是可信的,否则这将是一个非常简单的 XSS 攻击漏洞。Jsoup 可能对此有所帮助,另请参阅 XSS 预防在 JSP/Servlet Web 应用程序中

The <c:out> by default escapes XML entities <, >, &, " and ' to prevent XSS attacks.

So to solve your problem, either just don't use <c:out> (works on JSP 2.0 and newer):

${text}

or add the escapeXml="false" attribute:

<c:out value="${text}" escapeXml="false" />

You only need to ensure that this HTML is trusted, or this will be a very easy XSS attack hole. Jsoup may be helpful in this, see also XSS prevention in JSP/Servlet web application.

回复 原文
~没有更多了~

关于作者

云柯

暂无简介

0 文章
0 评论
24 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

Gabu-gabumon

文章 0 评论 0

qq_CgiN62

文章 0 评论 0

荔枝明

文章 0 评论 0

赏烟花じ飞满天

文章 0 评论 0

独守阴晴ぅ圆缺

文章 0 评论 0

¤→小豸慧

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文