當一個url過來時,如:http://localhost:8080/SpringMVC/hello.jsp?name=john,在hello.jsp頁面,我們可以這樣得到name的值,代碼如下:
<% String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/"; String name = request.getParameter("name");//用request得到 %>
然后在<body>Hi,<%=name%></body>中顯示。
也可以在body中直接用${}得到,因為當使用jstl時,url請求參數被放置到隱含對象param中。所以可以這樣寫:
<body>hello:${param.name}</body>
依據此邏輯,在使用jquery時,也可以用同樣的方法得到,如:
$(function(){ alert(${param.name}); });
當然,<%=name%>不能防御XSS攻擊,可以采用JSTL(JSP Standard Tag Library)開放源代碼的JSP標簽庫。
Hi,<c:out value="${name}"/>
附:驗證測試用的hello.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; String nameStr = request.getParameter("name");//用request得到 request.setAttribute("nameAttr", nameStr); %> <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Hello</title> </head> <body> Hi,<c:out value="${nameAttr}"/> Hi,<%=nameStr%> Hi,${param.name} </body> </html>
Web安全的XSS知識請參考Java安全下的XSS部分。