spring mvc数据绑定时通过去除html标签防止js注入

最新推荐文章于 2022-06-10 16:07:21 发布
最新推荐文章于 2022-06-10 16:07:21 发布
阅读量5.3k 收藏 2
点赞数
分类专栏: JAVA Spring 文章标签: html spring mvc command exception object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laigood/article/details/7307214
版权
JAVA 同时被 2 个专栏收录
13 篇文章 0 订阅
订阅专栏
Spring
5 篇文章 0 订阅
订阅专栏

 现在做的项目之前没有考虑到js注入的问题,现在想通过在spring对数据进行绑定时,去除html标签来在后端防止js注入,首先先研读它的源码,我们大部分controller都是扩展MultiActionController这个类,用到的是bind(HttpServletRequest request, Object command)这个方法,它是通过调用createBinder方法创建ServletRequestDataBinder类来进行数据绑定,ServletRequestDataBinder类里面的getInternalBindingResult方法就是返回绑定的结果,我们可以在这方法里面加上自己的属性编辑器(扩展PropertyEditorSupport类)对参数进行处理,于是实现的步骤是:1、写个扩展PropertyEditorSupport类的字符串处理类 2、定义自定义ServletRequestDataBinder,重写getInternalBindingResult方法,3、扩展MultiActionController,重写createBinder方法。

1.StringEditor类

public class StringEditor extends PropertyEditorSupport{

  @Override
  public void setAsText(String text) throws IllegalArgumentException {
      if (text == null || (text = text.trim()).length() == 0) {
          return;
      }
      try {
        //去除html标签
        String str = text.replaceAll("<[a-zA-Z]+[1-9]?[^><]*>", "")   
                         .replaceAll("</[a-zA-Z]+[1-9]?>", "");  
          setValue(str);
      } catch (Exception e) {
          throw new IllegalArgumentException(e);
      }
  }
}


2.CustomRequestDataBinder类

public class CustomRequestDataBinder extends ServletRequestDataBinder {

  public CustomRequestDataBinder(Object target) {
    super(target);
  }

  public CustomRequestDataBinder(Object target, String objectName) {
    super(target, objectName);
  }

  @Override
  protected AbstractPropertyBindingResult getInternalBindingResult() {
      AbstractPropertyBindingResult bindingResult = super.getInternalBindingResult();

      PropertyEditorRegistry registry = bindingResult.getPropertyEditorRegistry();
      registry.registerCustomEditor(String.class, new StringEditor());

      return bindingResult;
  }
}


3.CustomMultiActionController 类

public class CustomMultiActionController extends MultiActionController{
  
  @Override
  public ServletRequestDataBinder createBinder(HttpServletRequest request, Object command) throws Exception {
    CustomRequestDataBinder binder = new CustomRequestDataBinder(command, getCommandName(command));
    initBinder(request, binder);
    return binder;
  }
}


这样的话只要你的Controller扩展了CustomMultiActionController ,在进行数据绑定时就会把提交的数据中的html标签去除,如果某些属性需要有html标签的话就通过request.getParameter来获取没转换的数据。

这只是一个简单的例子,你还可以扩展其它的属性编辑器,比如时间格式的,在提交时统一把date转换为某种格式保存。

laigood
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring MVC数据绑定概述及原理详解
08-18
主要介绍了Spring MVC数据绑定概述及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringMVC拦截器 - 设置不拦截html,js等静态文件
weixin_34249678的博客
08-27 1161
拦截器中增加针对静态资源不进行过滤(涉及spring-mvc.xml) <mvc:resources location="/" mapping="/**/*.js"/> <mvc:resources location="/" mapping="/**/*.css"/> <mvc:resources location="/assets/" mapping="/a...
成功解决springboot项目中静态资源(html,css等等)被过滤问题
一名Java语言狂热分子。
03-15 4729
问题发生在做一个SpringBoot项目从一个html文件链接到同级目录下的另一个html文件,发生了常见的404错误 一开始因为自己的路径有问题,后面发现target目录下根本没有对应的文件,才意识到文件被过滤了 解决办法如下: 在pom.xml文件里加入如下代码: <!--Maven资源过滤设置--> <build> <resources> <resource> &lt
SpringMVC处理jsp,html页面
xy的博客
11-22 575
1.问题 SpringMVC可以很好的处理jsp页面的跳转,如何让其同支持html页面? 2.解决 2.1 创建工具类HtmlResourceView.java HtmlResourceView.java public class HtmlResourceView extends InternalResourceView { @Override public boolean checkResource(Locale locale){ File file=new File(
springmvc常用注解标签详解
weixin_30387339的博客
03-25 42
springmvc常用注 </div><!--end: blogStats --> </div><!--end: navigat springmvc常用注解标签详解 1、@Controller 在SpringMVC中,控制器Controller负责处理由Dispatch...
Java去除HTML标签
楚璃轩
01-05 876
去除所有标签 package com.alibaba.xiaomi.externalservice.provider.iocevent; import java.io.*; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * @Author gett * @Date 2021/12/29 17:35 * @Description */ public class ceshi{ public sta
解决SpringMVC+HTML中文乱码:web.xml中去掉一个标签
qq_43416596的博客
03-26 60
假设你在SpringMVC配置文件中配置了HTML的视图解析器,在web.xml中配置了中文乱码控制器CharacterEncodingFilter等等还是没有解决乱码。 那么去掉web.xml中的 <listener-class> org.springframework.web.context.ContextLoaderListener </listener-class> 再启动试试看。 ...
springboot登录拦截权限整合html
Lyh_ok的博客
03-12 771
springboot实现html页面的登录拦截 。
『JavaWeb漏洞复现』低版本Springboot报错页面SPEL注入
Ho1aAs‘s Blog
06-10 1163
向一个可以能引发报错的controller传参,报错会渲染出报错页面对输入的参数SPEL解析Springboot: 1.1.0 ~ 1.1.12、1.2.0 ~ 1.2.7、1.3.0新建Springboot项目,设置为受影响的版本编写一个通过输入能抛出错误的controller 传入SPEL表达式触发注入这里SPEL表达式是不能含有单双引号的,否则无法RCE,因此在exec的候需要绕过:将引号字符串换成ascii表示 ascii转换: 代码审计 从报错页面渲染开始,在org.springframewo
springboot拦截请求参数,如去除参数emoji表情,防止数据库报错
samuBO的博客
11-24 2308
https://zhuanlan.zhihu.com/p/81936836
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring MVC---数据绑定和表单标签详解
08-31
本篇文章主要介绍了Spring MVC---数据绑定和表单标签详解,具有一定的参考价值,有兴趣的可以了解一下。
spring MVC数据绑定大全
11-18
spring MVC数据绑定 含例子 转载自疯芒毕露的专栏 刚开始用spring mvc 做web开发 经常会不知道如何合适绑定页面数据 用惯struts2的朋友更认为spring mvc 绑定数据不如struts2方便 本人最开始也是这么认为 经过一段...
Spring mvc防止数据重复提交的方法
08-26
主要为大家详细介绍了Spring mvc防止数据重复提交的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring+MVC数据绑定大全+
08-10
Spring+MVC数据绑定大全+
Mongodb与spring集成(3)------MongoRepository实现增删改查和复杂查询
热门推荐
云端分布式搜索技术
12-09 2万+
与HibernateRepository类似,通过继承MongoRepository接口,我们可以非常方便地实现对一个对象的增删改查,要使用Repository的功能,先继承MongoRepository接口,其中T为仓库保存的bean类,TD为该bean的唯一标识的类型,一般为ObjectId。之后在service中注入该接口就可以使用,无需实现里面的方法,spring会根据定义的规则自动生成。
cas集成oauth,用新浪微博账号登录示例
云端分布式搜索技术
05-15 1万+
cas官方已经在开发cas与oauth集成的插件,使用的是scribe-up这个项目来获取授权后的用户基本信息。计划在cas3.5.0版本推出,不过现在已经可以用了,下面将以新浪微博为例,说明如何用新浪微博的账号登录cas,到https://github.com/Jasig/cas/tree/master/cas-server-support-oauth下载源码,把cas-server-supp
Mongodb与spring集成(2)------实体映射
云端分布式搜索技术
12-09 1万+
spring-data-mongodb中的实体映射是通过 MongoMappingConverter这个类实现的。它可以通过注释把 java类转换为mongodb的文档。 它有以下几种注释: @Id - 文档的唯一标识,在mongodb中为ObjectId,它是唯一的,通过间戳+机器标识+进程ID+自增计数器(确保同一秒内产生的Id不会冲突)构成。 @Document - 把一个jav
单点登录cas与权限管理框架shiro集成------spring项目方式
云端分布式搜索技术
02-15 1万+
之前那篇文章介绍了普通web项目中单点登录cas与权限管理框架shiro集成方式,这里说下spring项目中的集成方式,首先还是配置一个filter shiroFilter org.springframework.web.filter.DelegatingFilterProxy targetFilterLifecycle tr
集合中存储 POJO 类型数据Spring MVC 支持直接使用集合形参进行数据绑定
最新发布
06-02
是的,Spring MVC 支持直接使用集合形参进行数据绑定。在 Spring MVC 中,可以使用集合形参来接收客户端提交的数据,并且框架会自动将数据绑定到对应的 POJO 类型对象中。 例如,以下代码演示了如何在 Spring MVC ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值