当一个url过来时,如:http://localhost:8080/SpringMVC/hello.jsp?name=john,在hello.jsp页面,我们可以这样得到name的值,代码如下:
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
String name = request.getParameter("name");//用request得到
%>
然后在<body>Hi,<%=name%></body>中显示。
也可以在body中直接用${}得到,因为当使用jstl时,url请求参数被放置到隐含对象param中。所以可以这样写:
<body>hello:${param.name}</body>
依据此逻辑,在使用jquery时,也可以用同样的方法得到,如:
$(function(){
alert(${param.name});
});
当然,<%=name%>不能防御XSS攻击,可以采用JSTL(JSP Standard Tag Library)开放源代码的JSP标签库。
Hi,<c:out value="${name}"/>
附:验证测试用的hello.jsp
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/";
String nameStr = request.getParameter("name");//用request得到
request.setAttribute("nameAttr", nameStr);
%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Hello</title>
</head>
<body>
Hi,<c:out value="${nameAttr}"/>
Hi,<%=nameStr%>
Hi,${param.name}
</body>
</html>
Web安全的XSS知识请参考Java安全下的XSS部分。