<c:out ... /> defect?

Issue #287 new
Robert Jäschke created an issue

Wir benutzen <c:out value="${variable}"> an vielen Stellen in JSPs, um Variablen sicher auszugeben. Es maskiert XML-spezifische Zeichen (<,>,&,',"), damit sie nicht interpretiert werden:

"... characters <,>,&,'," in the resulting string should be converted to their corresponding character entity codes."

Leider entfernt es nicht andere problematische Zeichen, insbesondere Steuerzeichen (z.B. 0x16), die das XML ungültig machen können. Das hat weitreichende Konsequenzen: RSS-Feeds werden ungültig, falls ein solches Zeichen auftaucht, ebenso die SWRC- und XML-Ausgabe.

Mein Vorschlag zur Beseitigung des Problems wäre, alle Benutzereingaben grundsätzlich auf solche Steuerzeichen zu prüfen und diese ggf. zu entfernen. Dabei muss darauf geachtet werden, dass Tabulator, NewLine, Return, etc. NICHT entfernt werden. Alternativ bietet sich an, die Funktion c:out neu zu implementieren.

In jedem Fall ist dies ein grosser Aufwand, bei der Neuimplementierung der entsprechenden Funktionalität in BibSonomy2 muss dieses Problem beachtet werden.

Comments (2)

  1. Former user Account Deleted

    Commented by claus: ich könnte das übernehmen.

    - plediere auch für eine neuimplementation von c:out ;)

  2. Log in to comment