XSS を防ぐために JSP で変数を出力する際には HTML エスケープの処理を施す必要があります。
HTML エスケープは JSTL の c:out タグを使うと簡単に行えます。
c:out のパラメータ
| 属性 | 必須 | デフォルト値 | 意味 |
|---|---|---|---|
| value | yes | 出力したい変数名 | |
| defaultValue | no | デフォルト値 | |
| escapeXml | no | true | <>&'" のエスケープ処理を行うか |
サンプルコード
プロジェクト構成
サンプルコードのプロジェクトは 2 つのファイルから成ります。
- pom.xml
- src/main/webapp/index.jsp
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.example</groupId>
<artifactId>example</artifactId>
<version>1.0.0-SNAPSHOT</version>
<packaging>war</packaging>
<name>example</name>
<build>
<plugins>
<plugin>
<groupId>org.eclipse.jetty</groupId>
<artifactId>jetty-maven-plugin</artifactId>
<version>9.4.31.v20200723</version>
</plugin>
</plugins>
</build>
<dependencies>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>4.0.1</version>
<scope>provided</scope>
</dependency>
</dependencies>
</project>
src/main/webapp/index.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%
request.setAttribute("message", "Hello");
request.setAttribute("code", "<script>alert(1);</script>");
%>
<html>
<head>
<title>Title</title>
</head>
<body>
<p><c:out value="${message}"/></p>
<p><c:out value="${code}"/></p>
</body>
</html>
実行
$ mvn jetty:run
実行結果
