Velocity安全输出帮助

Velocity安全输出帮助 

    * html输出 什么都不执行， 按原始格式输出。 他并不是真正的不执行任何变化， 因为他会执行xss的过滤动作。一个非常复杂的安全处理过程， 如果不是输出HTML， 请勿使用。 这个表示将会消耗大量的CPU处理。 

          #SHTML($html) 

    * xml编码输出， 将会执行 xml encode输出 

          #SXML($xml) 



    * js编码输出 , 将会执行javascript encode输出 

         #SJS($js) 

    * 纯文本编码输出, 将会执行html encode.  就是我们通常的使用. 

        $text 

    * 为了避免发生歧义， #ZHTML虽然是不转义， 但是我们明确说的是HTML， 但是， 如果真有不需要转义的情况出现， 我们可以使用

        #SLITERAL($text) 
        tips: literal – 照字面的;原义的. 

    有一点需要强调的是，　我们所有宏的执行，　如果输入的是 null, 那么宏执行后是”” 这点是无法被修正的障碍。出现这样的可能性，而且要被velocity脚本使用null的机会是很少的。　因为加这个宏就意味着用户准备输出了。 



    加一个S是为了尽量避免和应用定义的宏出现冲突， 没有别的含义. 但是我们仍然 
有几个地方需要我们注意的地方： 

    * 扩展实现的是编码输出String对象， 如果你输出的不是String对象， 这些宏操作将会失效，这个是为了提高系统的编码性能，采取的态度。 如果一个对象没有重新实现toString()的，这个对象的输出是不可能有html编码的问题的。因为Object.toString实现的是对象地址， 另外实现了toString的方法，我们姑且认为是安全， 这个虽然严格意义上是不正确. 

    * 如何避免一个数据被多次encode。 

   1. 首先我们假设 $text="s&" 
      $stringUtil.getXXX($text) 

      这个形式输出是 s& 
   2. $stringUtil.getXXX("$text") 
      这个形式输出是 s& 

      为什么会这样呢，""是告诉velocity, 先输出，后把参数送给#stringUtil.getXXX. 这是一个非常需要注意的地方，这个地方导致了大量的地方需要修改的地方。也是目前最无奈的地方。这个这个会造成一些变形的特殊情况， 比如$stringUtil.equals("$text"， "&")这样情况就是， "$text", 这个已经发生htlml encode, 然而 "&"是常量，常量是无法被转义的，因此这个就是发生严重的bug. 
      解决的办法是这么写： 
      $stringUtil.equals($text， "&") 
   3. $stringUtil.getXXX("the pro: $text") 
      常量与输出的混合. 解决这个问题的办法是：$stringUtil.getXXX("the pro: #ZLITERAL($text)")