当一个url过来时,如:http://localhost:8080/SpringMVC/hello.jsp?name=john,在hello.jsp页面,我们可以这样得到name的值,代码如下:
<% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; String name = request.getParameter("name");//用request得到 %>
然后在<body>Hi,<%=name%></body>中显示。
也可以在body中直接用${}得到,因为当使用jstl时,url请求参数被放置到隐含对象param中。所以可以这样写:
<body>hello:${param.name}</body>
依据此逻辑,在使用jquery时,也可以用同样的方法得到,如:
$(function(){ alert(${param.name}); });
当然,<%=name%>不能防御XSS攻击,可以采用JSTL(JSP Standard Tag Library)开放源代码的JSP标签库。
Hi,<c:out value="${name}"/>
附:验证测试用的hello.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; String nameStr = request.getParameter("name");//用request得到 request.setAttribute("nameAttr", nameStr); %> <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Hello</title> </head> <body> Hi,<c:out value="${nameAttr}"/> Hi,<%=nameStr%> Hi,${param.name} </body> </html>
Web安全的XSS知识请参考Java安全下的XSS部分。
京公网安备 11010502036488号