当一个url过来时,如:http://localhost:8080/SpringMVC/hello.jsp?name=john,在hello.jsp页面,我们可以这样得到name的值
方法/步骤
1、然后在<body>Hi,<%=name%></body>中显示。
2、也可以在body中直接用${}得到,因为当使用jstl时,url请求参数被放置到隐含对象param中。所以可以这样写:<body>hello:${param.name}</body>
3、依据此逻辑,在使用jquery时,也可以用同样的方法得到,如:$(function(){alert(${param.name});});
4、当然,<%=name%>不能防御XSS攻击,可以采腩柽鬣盛用JSTL(JSPStandardTagLibrary)开放源代码的JSP标签库。Hi,<c:out惺绅寨瞀value="${name}"/>
5、附:验证测试用的hello.jsp<婊剧琏兄%@pagelanguage="java"contentType="text/html;ch锾攒揉敫arset=UTF-8"pageEncoding="UTF-8"%><%@taglibprefix="c"uri="http://java.sun.com/jsp/jstl/core"%><%Stringpath=request.getContextPath();StringbasePath=request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";StringnameStr=request.getParameter("name");//用request得到request.setAttribute("nameAttr",nameStr);%><!DOCTYPEhtml><html><head><metahttp-equiv="Content-Type"content="text/html;charset=UTF-8"><title>Hello</title></head><body>Hi,<c:outvalue="${nameAttr}"/>Hi,<%=nameStr%>Hi,${param.name}</body></html>
6、Web安全的XSS知识请参考Java安全下的XSS部分。
