JSP 表达式标签中的 JavaScript 变量

Question

我有这个 JavaScript 代码：

<script>
    function greetings() {
        var hash = window.location.hash.substring(1);
        if (hash != "") {
            var name = "<%= Encode.forJavaScriptBlock(hash) %>";
            document.write("<h1> Hello " + name + "!</h1>");    
        }
        else {
            document.write("<h1>Welcome Back!</h1>");       
        }
    }
    greetings();
</script>

当我运行它时，我收到以下与 name 变量的声明行相关的错误：

哈希无法解析为变量

我不明白为什么哈希变量似乎在我的范围内。

Answer 1

您似乎对 Java 和 JavaScript 代码的执行时间有一些误解。

JSP 中的代码被编译成如下所示的 Java 代码：

out.println("<script>");
out.println("    function greetings() {");
out.println("        var hash = window.location.hash.substring(1);");
out.println("        if (hash != \"\") {");
out.print("            var name = \"");
out.print(Encode.forJavaScriptBlock(hash));
out.println("\";");
out.println("            document.write(\"<h1> Hello \" + name + \"!</h1>\");");
out.println("        }");
out.println("        else {");
out.println("            document.write(\"<h1>Welcome Back!</h1>\");");
out.println("        }");
out.println("    }");
out.println("    greetings();");
out.println("</script>");

服务器不处理 <script> 元素中的 JavaScript 代码。对于服务器来说，这只是它直接发送到浏览器的文本负载，没有任何进一步的处理。但是，在您的 JSP 中，您有一个 scriptlet <%= Encode.forJavaScriptBlock(hash) %>，它的内容确实会写入已编译的 Java 代码中。这一行试图引用一个名为hash 的Java 变量，但没有这样的东西：虽然您的JavaScript 代码确实包含一个名为hash 的变量，但(a) 永远不会存在于运行JSP 的服务器上， (b) 在页面被发送到浏览器之前，用户的浏览器中不会存在，这将是在 JSP 完成运行之后。

这就是您遇到错误的原因。

最终，您似乎正试图防止恶意数据被插入到您的网页中，但并不十分了解如何做到这一点。看起来你最好遵循你链接到的备忘单中的规则#6，在你的页面某处有一个<h1>元素，带有一个ID，并修改你的JavaScript函数来改变它的文本内容，即

<h1 id="greeting-message">

<script>
    function greetings() {
        var hash = window.location.hash.substring(1);
        var greetingElement = document.getElementById("greeting-message");
        if (hash != "") {
            greetingElement.textContent = "Hello " + hash + "!";
        }
        else {
            greetingElement.textContent = "Welcome Back!";
        }
    }
    greetings();
</script>