前端jsp中处理特殊字符方法总结

          前段时间修改一个前端jsp页面的，测试组发现一个问题可让我纠结很久了，现在终于解决了来总结一下，下次就方便了。

 

问题:

jsp页面输入框中输入了类似 <script>alert("测试脚本")</script> 这样的恶意脚本，在页面加载的时候会弹出 alert提示框，很是讨厌。

 

解决方案：

第一种：如果是页面回显的话或者在标签内使用这个值的话，可以使用

使用fn:escapeXml()函数转义字符，可以解释为XML标记。

使用这个函数之前必须在页面中导引入下面二行代码

<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="http://java.sun.com/jsp/jstl/functions"  prefix="fn" %>

第二种：如果刚才的问题不是出现在jsp标签和jsp页面展示的内容里面，而是出现的jsp的js中，比如我们从后台数据中获取了  类似 <script>alert("测试脚本")</script> 这样的恶意脚本 就不能使用第一种方案了，我也正是被这个问题困扰，最后找到了一个简单的解决方案，替换掉脚本里面的特殊符号 < >，使用正则表达式来实现：

我写一个这样的函数，有可能出现恶意脚本的字符都用这个函数处理一下就可以了。

function escapeCharactor(val){
 return val.replace(new RegExp("<","g"),"&lt;").replace(new RegExp(">","g"),"&gt;");
}