富文本编辑器格式丢失

已于 2023-12-12 16:52:12 修改
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 工具技术 文章标签: java
于 2022-02-21 15:50:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cike___/article/details/123047968
版权
本文档记录了一位开发者在使用若依开源框架的“通知公告”功能时遇到的问题:富文本内容保存后格式丢失。经过前端和后端的排查,发现是自定义的XssFilter导致的,该过滤器在过滤XSS攻击时修改了请求参数。解决方案是在application.yaml中配置excludes,将富文本相关URL排除在外,以保持富文本格式不变。
摘要由CSDN通过智能技术生成

一、环境说明

项目中使用的是若依开源框架的 “ 通知公告 ” 功能。
富文本编辑器是 Summernote :Summernote 是一个简单的基于 Bootstrap 的轻量级富文本编辑器 summernote 官方文档

二、问题描述

编辑富文本内容后,点击保存,富文本格式部分丢失!(包括


下面是ajax请求和controller部分代码

        function submitHandler() {
            if ($.validate.form()) {
                var sHTML = $('.summernote').summernote('code');
                var formData = new FormData();
                formData.append('newsId', $('#newsId').val());
                formData.append('newsTitle', $('#newsTitle').val());
                formData.append('newsContent', sHTML);
                formData.append('newsContentText', removeElement(sHTML));
                formData.append('newsTime', $('#newsTime').val());
                formData.append('file', $('#image')[0].files[0]);
                $.ajax({
                    url: prefix + "/edit",
                    type: "post",
                    cache: false,
                    dataType: "json",
                    data: formData,
                    processData: false,
                    contentType: false,
                    success: function (result) {
                        $.operate.successCallback(result);
                    }
                })
            }
        }

	@PostMapping("/edit")
    @ResponseBody
    public AjaxResult editSave(SysNews sysNews)
    {
        uploadImage(sysNews, file);
        return toAjax(sysNewsService.updateSysNews(sysNews));
    }

三、排查

1. 查询前端提交内容

打开浏览器调试工具,以Chrome浏览器为例,按下F12,选中Network,发送请求后,选中对应url,查看request header及body,重点观察Content-Type及Form Data。以下截取部分内容

Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive
Content-Length: 5201
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarywD5RCXzp4HD55AKK
Cookie: JSESSIONID=9e6c34ce-b491-470c-93e8-fbef5d8bb6be

newsContent: <b>测试</b><span style="background-color: rgb(255, 0, 0);">测试内容</span>

由于需要传文件到后台,因此要确保Content-Type类型为multipart/form-data;Form Data中的文本内容此时仍包含,说明前端传值没问题。

2. 查询后端接受到原始值

后台代码打断点,找到执行靠前的filter,查看request.getParameter(“newsContent”)值,发现取值正常,此时已完全排除前端传值问题,确定后端程序导致。实际测试中在editSave方法此处,增加ServletRequest req参数,仍可正常获取值;使用@RequestParam(value = “newsContent”, required = false) String newsContente同样获取不到值。

    @PostMapping("/edit")
    @ResponseBody
    public AjaxResult editSave(ServletRequest req, SysNews sysNews)
    {
        System.out.println(req.getParameter("newsContent"));
        uploadImage(sysNews, file);
        return toAjax(sysNewsService.updateSysNews(sysNews)); 
    }

3. 源码分析

以@RequestParam注解为切入口,查看从request对象中提取值时,内容为什么会变掉!
org.springframework.web.servlet.mvc.method.AbstractHandlerMethodAdapter#handle
->
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter#handleInternal 留意一下org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter#getDefaultArgumentResolvers
->
org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter#invokeHandlerMethod 核心代码 invocableMethod.invokeAndHandle(webRequest, mavContainer);
->
org.springframework.web.servlet.mvc.method.annotation.ServletInvocableHandlerMethod#invokeAndHandle 核心代码Object returnValue = invokeForRequest(webRequest, mavContainer, providedArgs);
->
org.springframework.web.method.support.InvocableHandlerMethod#getMethodArgumentValues
->
org.springframework.web.method.annotation.RequestParamMethodArgumentResolver#resolveName
->
org.springframework.web.context.request.WebRequest#getParameterValues 注意此处值已经变掉了,进一步查看源码发现调用的是自定义HttpServletRequestWrapper com.ruoyi.common.xss.XssHttpServletRequestWrapper#getParameterValues,该方法在com.ruoyi.common.xss.XssFilter#doFilter中被调用。

package com.ruoyi.common.xss;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import com.ruoyi.common.utils.StringUtils;

/**
 * 防止XSS攻击的过滤器
 * 
 * @author ruoyi
 */
public class XssFilter implements Filter
{
    /**
     * 排除链接
     */
    public List<String> excludes = new ArrayList<>();

    /**
     * xss过滤开关
     */
    public boolean enabled = false;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException
    {
        String tempExcludes = filterConfig.getInitParameter("excludes");
        String tempEnabled = filterConfig.getInitParameter("enabled");
        if (StringUtils.isNotEmpty(tempExcludes))
        {
            String[] url = tempExcludes.split(",");
            for (int i = 0; url != null && i < url.length; i++)
            {
                excludes.add(url[i]);
            }
        }
        if (StringUtils.isNotEmpty(tempEnabled))
        {
            enabled = Boolean.valueOf(tempEnabled);
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException
    {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (handleExcludeURL(req, resp))
        {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)
    {
        if (!enabled)
        {
            return true;
        }
        if (excludes == null || excludes.isEmpty())
        {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes)
        {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find())
            {
                return true;
            }
        }
        return false;
    }

    @Override
    public void destroy()
    {

    }
}

package com.ruoyi.common.xss;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import com.ruoyi.common.utils.html.EscapeUtil;

/**
 * XSS过滤处理
 * 
 * @author ruoyi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper
{
    /**
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request)
    {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name)
    {
        String[] values = super.getParameterValues(name);
        if (values != null)
        {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++)
            {
                // 防xss攻击和过滤前后空格
                escapseValues[i] = EscapeUtil.clean(values[i]).trim();
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
}

四、结果办法

在 application.yaml 配置文件中,增加以下内容,使用 excludes 排查富文本 url

  # 防止XSS攻击
  xss: 
  # 过滤开关
  enabled: true
  # 排除链接(多个用逗号分隔)
  excludes: /system/notice/*,/system/news/*
  # 匹配链接
  urlPatterns: /system/*,/monitor/*,/tool/*

好事定律:每件事最后都会是好事,如果不是好事,说明还没到最后。

Cike___
关注
专栏目录
若依系统富文本编辑框内容保存到后台样式被过滤问题
温柔已看透的博客
05-29 5187
若依系统富文本编辑框内容保存到后台样式被过滤问题 一.需求 进入页面,富文本编辑框里回显这条新闻内容,如下图, 然后可以在富文本编辑框里对它实现再编辑,编辑之后将html代码提交保存到后台数据库。可以点击详情页进行查看。 在提交到后台的过程中, 莫名被过滤了很多东西, 包括CSS、class等,只剩下了div标签了。 二.解决 只需一段代码即可搞定,如图: 默认防止XSS攻击是开着的,我们只需要将排除的链接添加到这里就可以了 ...
解决富文本的部分样式不生效.png
04-20
富文本的部分样式不生效,左思右想,经高人指点原来是样式覆盖的问题,找准样式,逐一排查,overflow:hidden影响了富文本有序列表和无序列表的功能展示
记-富文本编辑器格式丢失排查记录
搬山境KL攻城狮的修炼手册
04-14 1793
文章目录一、环境说明二、问题描述三、排查1.查询前端提交内容2.查询后端接受到原始值3.源码分析四、最终结果办法 一、环境说明 项目使用若依开源框架里的“通知公告”功能; 富文本编辑器是Summernote;Summernote是一个简单的基于Bootstrap的WYSIWYG富文本编辑器summernote官方文档。 二、问题描述 编辑富文本内容后,点击保存,富文本格式部分丢失!(包括<p> <span style="background-color: rgb(255, 0, 0)
ueditor百度富文本编辑器粘贴后html丢失class和style样式
snow_love_xia的博客
09-14 1388
ueditor富文本编辑器粘贴内容后html丢失class、style样式
若依微服务-富文本保存标签消失
hexu_blog的博客
03-17 1004
比如我这边的是:/assoc/grade/add或//assoc/grade/edit ,配置了个通配 /assoc/grade/**2.在gateway中 ,添加地址过滤,将富文本操作设计到的接口添加到过滤地址中 excludeUrls。1.后端配置post请求 , @RequestBody 接收json参数。3.nacos中发布yml, 重启项目即可。主要是xss攻击配置导致的问题。
若依代码生成选富文本 加载后样式(标签消失)
weixin_73482660的博客
01-10 516
需要过滤 路径是Controller接口路径。/*没有用时 使用/**
ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法
01-21
我在我的项目中使用了Kindeditor富文本编辑器(或许你使用的是Ueditor\ckeditor),通过富文本编辑器编辑文章的内容然后存储到数据库中,再从数据库中读取显示到网页上来。 在这个过程中,我遇到一个问题,当我在...
富文本编辑器支持从word复制粘贴保留格式和图片的插件源码
11-03
在没有PowerPaste的情况下,这些格式往往在粘贴到富文本编辑器丢失或者转换为不一致的样式。PowerPaste解决了这个问题,它能智能地解析和转换Word的格式,确保粘贴的内容与原Word文档保持一致。 在TinyMCE官网上...
tinymce富文本编辑器集成demo,添加powerpaste插件,支持word、excel带格式粘贴
09-25
富文本编辑器是网页开发中常见的一种工具,用于创建和编辑具有多种格式的文本内容,如HTML文档。Tinymce是一款流行的开源JavaScript富文本编辑器,它提供了丰富的功能和高度可定制性,广泛应用于网站、博客、内容...
textboxio富文本编辑器
12-05
**正文** `textboxio`富文本编辑器是一款高级...总的来说,`textboxio`富文本编辑器是现代Web应用中一个强大且灵活的文本处理工具,其丰富的功能、优秀的用户体验和高度的定制性,使其在众多富文本编辑器中脱颖而出。
15个基于Web的HTML编辑器
04-26
15个基于Web的HTML编辑器,各式各样的编译器,源码地址提供下载
Ruoyi 开发平台 oracle 版本
01-26
基于SpringBoot2.0的权限管理系统 易读易懂、界面简洁美观。 核心技术采用Spring、MyBatis、Shiro没有任何其它重度依赖。直接运行即可用
Vue使用富文本编辑器Vue-Quill-Editor(含图片自定义上传服务、清除复制粘贴样式等)
01-19
使用教程(注意细看总结部分,写了几点,希望有所帮助): 1、安装插件:npm install vue-quill-editor 2、安装插件依赖:npm install quill 3、main.js文件中引入: import Vue from 'vue' import VueQuillEditor ...
Java 后端接收前端的<p>富文本数据,其中标签样式数据丢失解决】
weixin_44089271的博客
05-11 1496
前端传参的时候,某个参数中是富文本格式格式如下:{"msg":"操作成功","code":200,"developVos":[{"id":32,"qtId":null,"taskId":null,"oldQtId":186,"newQtId":186,"qtType":"judge","qtCode":"AW2023051100000004","qtName":"<p>147<img src=\"https://140.210.199.79/file/download/other/2023/05/11/d
Ueditor富文本回显word文档(doc和docx格式都支持)进行二次编辑,springboot后端
weixin_51547113的博客
04-05 1064
springboot后端,前端导入word文档(doc和docx格式都支持),Ueditor富文本回显进行二次编辑。
layui.layedit富文本编辑器问题笔记
weixin_44015885的博客
08-25 1086
用layedit富文本编辑器遇到一些问题 做个笔记免得以后忘记 HTML <div class="layui-form-item"> <label class="layui-form-label">产品简介<span style="color: red;">*</span</label> <div class="layui...
富文本编辑器样式传到后端但是后端接收不到数据
L1259018659的博客
09-22 1899
前端富文本编辑文本样式,但是传到后端就只剩下文本了!应该有的 标签 style那些都没有!
Java后端接收前端的富文本数据,其中标签样式数据丢失,只剩下值的解决办法
Michael_Jan的博客
01-17 2280
Java后端接收前端的富文本数据,其中标签样式数据丢失,只剩下值
Java-网络
最新发布
2301_81543552的博客
09-14 802
Java中的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
h5移动端富文本编辑器
11-09
h5移动端富文本编辑器是一种用于在移动设备上创建、编辑和排版富文本内容的工具。它通过简单而强大的用户界面,使用户能够以直观的方式对文本进行格式化和排版,同时支持插入图片、链接、表格和其他富媒体元素。 相比传统的文本编辑器,h5移动端富文本编辑器具有以下优点: 1. 响应式设计:移动设备的屏幕空间有限,h5移动端富文本编辑器能够根据屏幕大小动态调整布局和功能,以适应不同设备的需求。 2. 触摸友好:h5移动端富文本编辑器采用触摸屏操作,支持手指滑动、捏合和缩放等手势,使得编辑过程更加流畅自然。 3. 自动保存:编辑器可以自动保存用户的编辑内容,防止意外关闭或断网等情况下的数据丢失,提供更好的用户体验。 4. 多样化的样式和工具:编辑器提供丰富的文本样式和排版选项,如字体、颜色、加粗、斜体等,还支持插入图片、链接、表格等富媒体元素,使用户能够创建出更具表现力的文档。 5. 兼容性强:h5移动端富文本编辑器具有良好的兼容性,可以在主流的移动端浏览器中运行,不需要安装额外的插件或应用程序,方便用户在不同设备上进行编辑和调整。 综上所述,h5移动端富文本编辑器是一种功能强大、操作简便的工具,适用于移动设备上创建和编辑富文本内容,能够满足用户对于文本排版和富媒体元素插入的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值