JavaScript2 minutes read (About 227 words)  0 visits

el태그 대신 <c:out> 사용하는 이유

jsp에서 다양한 방식으로 서버사이드 데이터를 출력할 수 있다.
그 중 가장 많이 쓰는건 el태그인데 그 이유는 el태그 사용법이 ${}로 매우 간단하기때문이다.

el태그만 써도 화면에 값이 잘 출력되는데 왜 굳이 <c:out>를 사용할까?

결론: XSS 방어하기 위해!

<c:out>를 사용하면 escapeXml속성을 활용할 수 있다.
escapeXml를 true로 설정함으로써 가장 간단하게 XSS(링크)를 방어할 수 있다.

1
2
3
4
5
// 1.escapeXml = true 인 경우(디폴트)
<c:out value="<script type='text/javascript'>alert('테스트');</script>"/>

// 2.escapeXml = false 인 경우 == el태그와 동일
<c:out value="<script type='text/javascript'>alert('테스트');</script>" escapeXml="false"/>
  1. escapeXml = true의 경우, text 그대로 출력된다.
  2. escapeXml = false 인 경우나 el태그인 경우, alert창이 실행된다.

따라서 XSS 방어하기 위해서는 <c:out>을 사용하는 게 좋다.

Comments

Follow

Categories

Recent

Archives

Tags

APK1
Backjoon12
Book1
BookReview1
C#3
CORS1
CSRF1
ChatGPT1
Codeup10017
DBeaver1
DB설계1
DataStructure5
Discord1
Docker2
EL2
Eclipse10
Facebook1
GIT31
GeekNews1
Gson4
HTML&CSS30
Hackerrank10
Hexo5
HttpEntity1
ITWILL(JAVA)263
IntelliJ1
JAVA1
JSON2
JSTL4
JavaScript1
Journal22
Leetcode6
List11
Lombok1
MSA1
MariaDB9
Moment.js3
MyBatis6
MySQL11
NoSQL1
Node.js3
Oracle48
Port2
Programmers2
RESTfulAPI3
Redis1
RestTemplate2
Review20
SQLD2
SQL퀴즈2
STS7
SVN4
SpringBoot6
TIL359
Tomcat4
VanillaJS2
VueJS2
WEB2
Web Development1
Web Game9
Websocket3
YouTube1
ajax1
jQuery13
java.util.Calendar1
xAPI1
구글애드센스1
디자인패턴4
생활코딩5
설치1
오늘또못알아듣고말았습니다14
오류일지18
정규표현식3
차이17
패스트캠퍼스(초격차Java/Spring)12
패스트캠퍼스(파이썬웹개발)37
회고록10

Advertisement

×