Jakarta Taglibs是为JSP定制标签库和相关的项目提供的一个开源仓库,如TagLibraryValidator类,和对页面生成工具的扩展来支持标签 库。 Jakarta Taglibs 也包括了对JSP Standard Tag Library (JSTL)的参考实现。 Apache Standard Taglib 1.2.3 发布,此版本支持 JSTL 1.2 版本,包括一些 bug 修复和改进。值得关注的新特性: - 更新 -compat 库,使用 容器的 EL 实现 JSTL 1.0 - 更好的支持 classloading - 改进 XML 处理 更多内容请看:https://www.apache.org/dist/tomcat/taglibs/taglibs-standard-1.2.3/README_bin.txt。 此版本还解决了一个安全问题:JSTL XML tags 中 XSL 扩展引发的 CVE-2015-0254 XXE 和 RCE,安全系数为:重要。此问题主要影响 Taglibs 1.2.1 还有现在已经不支持的 1.0.x 和 1.1.x 版本。 这个问题会导致一个应用使用 <xarse> 或者 <x:transform> 标签来处理不信任的 XML 文档,一个请求可以利用外部条目来访问主机系统的资源,或者利用 XSLT 扩展来允许远程操作。 解决办法:升级到 Apache Standard Taglibs 1.2.3 及以上版本。 下载:http://tomcat.apache.org/download-taglibs.cgi。 Apache Standard Taglib 1.2.3 发布 下载地址