使用JSP作为模板解析引擎-安全性问题

Question

我有一个关于JSP模板解析引擎的问题。

我目前正在构建的东西是允许客户用JSP (在网页上的文本区域内)编写自己的模板，然后这些模板可以用于电子邮件、登陆页面等。

JSP /scriptlet是否可以用于访问除通过我在HttpRequest中设置的${变量}提供的数据之外的数据？

换句话说，让客户直接访问JSP模板引擎是否会带来安全风险，如果是的话，我是否可以打开/关闭构成安全风险的某些JSP标记？

Answer 1

将与HTTP生命周期紧密绑定在一起。JSPs直接编译成实现HttpServlet的Java类。使用scriptlet，您将在系统中引入相当明显的安全漏洞(JSP作者可以在服务器上编写和执行任意Java代码)。

TL;DR JSP对于您的用例来说是非常糟糕的选择。使用不完全基于HTTP请求的模板引擎(String模板，Freemarker，.)。