Запретить getText() вычислять выражения EL

Question

Запретить getText() вычислять выражения EL

В бэкэнде Struts2 у меня есть переменная экземпляра класса действия, например: keyName, Динамический ключ возвращается в представление (JSP).

это keyName переменная устанавливается с помощью параметра запроса, используя метод POST. В зависимости от значения параметра запроса keyName будет меняться.

В JSP я использую <s:property value="getText(keyName)" /> показать метку, соответствующую ключу, заданному переменной keyName.

Когда я отправляю выражение EL например ${90-40} в keyName это выражение оценивается и в результате отображается 50 на пользовательском интерфейсе.

Как мы можем избежать или предотвратить такую инъекцию EL с getText()?

Есть ли другой альтернативный способ вместо <s:property value="getText(keyName)" />?

2

java regex jsp struts2 ognl

Источник

user4042354 14 авг '15 в 11:02

2 ответа

Решение

Использование <s:text name="keyName" />

http://struts.apache.org/docs/text.html

1

Источник

user4791803 14 авг '15 в 12:29

Другие вопросы по тегам java regex jsp struts2 ognl

user573032 14 авг '15 в 16:30 2015-08-14 16:30 · Accepted Answer · 2015-08-14 16:30

Вы можете создать свой собственный текстовый провайдер и зарегистрировать его в struts.xml:

<constant name="struts.xworkTextProvider" value="com.struts.text.MyTextProvier"/>

Теперь создайте класс MyTextProvier это расширяет TextProviderSupport и переопределить getText() методы. Все методы принимают параметр key как String и вы можете заменить нежелательные символы из него. Тогда позвони super.getText(), Например

public String getText(String key) {
  return super.getText(key.replaceAll("[\\$\\{\\}]", ""));
}