早期struts2中使用JSTL标签的bug

struts2已经集成了jsp标准的 JSTL标签用法，比如：

Action里面定义的变量private int sellerUin;，除了<s:property>标签外，还可以使用如下jstl来输出到页面上：

${sellerUin}

 

struts2会自动对http请求参数做类型转换。请求参数sellerUin=123会正常处理，而请求参数sellerUin=abc则会抛出参数转换错误，返回到"input"这个result上。

 

 

但是，在2.0.9这个版本的struts2中， 传参数sellerUin=abc,只要不是通过<s:property>去获取selleruin的值，这个参数就不会被正常的校验参数类型！也就是说，使用${sellerUin} 一样会在页面上返回abc,而不会抛出参数类型错误。

于是在后台被定义为int,long类型的参数，肯定不会做xss校验。而一旦被人识破并利用${} jstl标签输出，就会对返回页面进行xss注入。

 

经过测试，这个问题在2.0.14版本已经得到修复。