freemarker默认escape html 防范xss
freemarker 有html escape 方法,可是框架没有地方能够配置默认escape
1.<#escape>指令html
2.<xxx?html>内建函数java
方法1、spring
网上比较多的是经过TemplateLoader,给加载的template文件2头套<#escape>api
<#escape x as x?html> your template code </#escape>
参考: http://techdiary.peterbecker.de/2009/02/defending-against-xss-attacks-in.html缓存
可是如今咱们应用的对freemarker作了扩展,一个页面分3个部分,一个layout、一个view、多个control。框架
屡次render才到最终结果。要控制比较麻烦配置,也不友好。xss
方法二
改源码的$变量、默认所有转义、对固定的扩展的layout、一个view、多个control,配置正则原义输出。函数
变量是string类型的时候,用了xxx?string做为原义输出的内建函数。ui
缺点:比较暴力,修改了DollarViable源码,后续freemarker有升级要跟随修改url
/**
* The original code
* env.getOut().write(escapedExpression.getStringValue(env));
*/
String expr = escapedExpression.getCanonicalForm();
TemplateModel referentModel = escapedExpression.getAsTemplateModel(env);
String output = Expression.getStringValue(referentModel, escapedExpression, env);
if (referentModel instanceof TemplateScalarModel) {
// layout placeholder and widget no escape and ?string
if (expr.indexOf("!noescape") > -1 || expr.indexOf("?html") > -1 || expr.indexOf("parameters.") > -1
|| expr.endsWith("?string") || doNoEscape(expr, env)) {
env.getOut().write(output);
} else {
env.getOut().write(freemarker.template.utility.StringUtil.HTMLEnc(output));
}
}else{
env.getOut().write(output);
}
<!-- 设置 ViewResolver -->
<bean id="freemarkerConfiguration"
class="org.springframework.ui.freemarker.FreeMarkerConfigurationFactoryBean">
<property name="templateLoaderPath"
value="file://${xxxxxx.template.templatePath}" />
<property name="freemarkerSettings">
<props>
<prop key="default_encoding">UTF-8</prop>
<prop key="number_format">#</prop>
<!-- 配置缓存时间 -->
<prop key="template_update_delay">${xxxxxxx.template.update.delay}</prop>
<prop key="classic_compatible">true</prop>
<prop key="auto_import">/macro/macros.ftl as spring</prop>
<prop key="url_escaping_charset">UTF-8</prop>
<prop key="defaultEncoding">UTF-8</prop>
<prop key="boolean_format">true,false</prop>
<prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
<prop key="date_format">yyyy-MM-dd</prop>
<prop key="locale">zh_CN</prop>
</props>
</property>
<property name="freemarkerVariables">
<map>
<entry key="noescape_patterns" value-ref="noescape_patterns"/>
</map>
</property>
</bean>
<!-- 不进行转义正则 -->
<util:list id="noescape_patterns" list-class="java.util.ArrayList">
<bean class="java.util.regex.Pattern">
<constructor-arg value="(^placeholder$)|(^widget)|(^token\(\)$)" />
<constructor-arg value="0"/>
</bean>
</util:list>
相关文章
- 1. 防范XSS攻击
- 2. xss攻击防范
- 3. Web安全防范(XSS、CSRF)
- 4. 防范xss的正确姿式
- 5. web安全防范之XSS漏洞***
- 6. XSS原理及防范
- 7. 如何防范XSS和CSRF?
- 8. PHP 防范xss攻击
- 9. XSS、CSRF攻击与防范
- 10. XSS和CSRF防范措施
- 更多相关文章...
- • MySQL默认值(DEFAULT) - MySQL教程
- • Scala 函数 - 默认参数值 - Scala教程
- • JDK13 GA发布:5大特性解读
- • 漫谈MySQL的锁机制
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 防范XSS攻击
- 2. xss攻击防范
- 3. Web安全防范(XSS、CSRF)
- 4. 防范xss的正确姿式
- 5. web安全防范之XSS漏洞***
- 6. XSS原理及防范
- 7. 如何防范XSS和CSRF?
- 8. PHP 防范xss攻击
- 9. XSS、CSRF攻击与防范
- 10. XSS和CSRF防范措施