使用若依后台,过滤了特殊字符问题

最新推荐文章于 2024-05-27 11:22:59 发布
最新推荐文章于 2024-05-27 11:22:59 发布
阅读量701 收藏
点赞数
分类专栏: java 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fortunate_leixin/article/details/127205433
版权

问题描述:前端传递的带有xml或者html的文本,入库后发现xml或者html等都会被过滤,因为我看前端传递的参数中还是携带这些标签的,但是后台断点发现没有了只有不带标签的字符串,所以问题排除了是前端传值的时候导致的,最终确定是后台配置文件xss导致的。
解决办法是将enabled 置为false。这样操作比较暴力,涉及安全隐患,但是我后面百度了一下其他方法,有的说是在excludes中将不需要过滤的路径写上,我试了没用,可能是我写的方式不对导致的,大家遇到了可以试下,实在不行再考虑直接将过滤开关关掉,也就是直接将enabled置为false.
enabled

以上描述是个人见解,描述有误的地方欢迎大家指正。有问题可加876942434@请qq.com。一起进步~

一株木樨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
若依微服务特殊字符串被过滤的解决办法
猿小白的博客
06-23 1108
使用若依微服务过程,有的会发现使用富文本上传的时候,后端接受到的文本值中的html标签都被过滤掉了,这是因为,框架默认所有的都会过滤脚本,可以在ruoyi-gateway-dev.yml配置xss.excludeUrls属性排除URL。...
Vue.js 中取得后台原生HTML字符串 原样显示问题的解决方法
10-18
在Vue.js中,当从后台获取到的数据是以HTML字符串的形式存在时,为了在前端页面上正确地渲染这些HTML内容,我们需要采取特殊的处理方式。这个问题在标题和描述中已经提出,即“Vue.js 中取得后台原生HTML字符串 原样...
若依-富文本编辑器特殊字符串被过滤的解决办法
winnieFighting
09-09 2015
工作总结
前端传递参数包含+%等特殊字符的时候后台获取不到的问题
tyjlearning的博客
07-30 1万+
 public static String stringUncode(String param) {         if (param != null && !param.trim().equals("")) {             try { //                param = param.replaceAll("%(?![0-9a-fA-F]{2})", ...
若依 ruoyi-vue SpringBoot聊天敏感词过滤sensitive-word(一)
Xiaoweidumpb
05-27 245
import com/**// 数据库查询 List < TzLySensitiveWord > list = tzLySensitiveWordService . selectTzLySensitiveWord(TzLySensitiveWord . builder() . type(1) . build());} }/**
若依富文本 html样式 被过滤问题
w710537643的博客
08-30 1309
话说回来,在实际生产环境中,恶意代码存储到数据库中的后果是什么呢,下次有用户进入该网站,服务器返回给前台大量数据的同时,恶意代码也被返回并执行,那最终导致用户的Cookie等个人信息被泄露。所以,如果后端不进行任何过滤处理显然是不安全的。进入页面,富文本编辑框里回显这条新闻内容,如下图, 然后可以在富文本编辑框里对它实现再编辑,编辑之后将html代码提交保存到后台数据库。出现问题:在提交到后台controller时, 莫名被过滤了很多东西, 包括CSS、class等,只剩下文本内容了,哇呀呀!
JSP使用过滤器防止SQL注入的简单实现
01-08
具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。...
web前端vue filter 过滤
08-28
Vue filter 过滤器是一种特殊的函数,可以在模板中使用,以格式化和转换数据。这些函数可以在双花括号插值和 v-bind 表达式中使用,以实现文本格式化和数据转换。 使用场景 Vue filter 过滤器可以在多种场景下使用...
STRUTS+AJAX+JSP 请求到后台乱码问题解决方法
12-02
这是因为浏览器在发送URL时,会自动对某些特殊字符进行编码,但这个编码过程并不包括中文等非ASCII字符,所以需要手动进行编码,确保这些字符能够正确传输到服务器。 然而,仅仅前端编码是不够的,因为STRUTS框架在...
后台登入框架
09-12
可以通过转义特殊字符、内容过滤或HTTP头部的Content-Security-Policy来防范。 6. **权限控制(Authorization)**:登录后,系统需根据用户的权限分配不同的操作权限。常见的权限控制模型有RBAC(Role-Based Access...
用正则将API返回的数据去除标签并整理
koufulong的博客
03-05 414
一、API返回的数据: 二、用到的正则表达式 regex = /((ht|f)tps?):\/\/([\w\-]+(\.[\w\-]+)*\/)*[\w\-]+(\.[\w\-]+)*\/?(\?([\w\-\.,@?^=%&amp;:\/~\+#]*)+)?/g 三、整理格式后 四、使用方法 let regex = /((ht|f)tps?):\/\/([\w\-]+(\.[\w\-]+)...
读XML文件时出现空格字符情况 .
L-BAKE
07-01 2548
public static byte[] StreamToByte(InputStream inStream) throws Exception { byte casebyte[]=new byte[1024]; ByteArrayOutputStream byteOutStream=new ByteArrayOutputStream(); int n=0; while(
解决 “通配符的匹配很全面, 但无法找到元素 ‘context:component-scan‘ 的声明“ 问题
热门推荐
一一哥
07-08 4万+
cvc-complex-type.2.4.c: 通配符的匹配很全面, 但无法找到元素 'context:component-scan' 的声明 一. 异常描述 在配置SpringMVC的时候,spring.xml文件中配置了<context:component-scan/>, 结果提示如下异常:Caused by: org.xml.sax.SAXParseException......
Vue添加动态路由后,不同角色访问“/”产生404问题
Moon Star
08-24 3066
若依二次开发,不同角色访问对应不同的首页,访问地址“/”一直跳转到404页面的问题。 ​
若依整合mybaitsplus
m0_58189021的博客
08-20 9408
绝对可靠的若依整合mybatisplus,要不成功你找我!
利用XML传输数据
荒的博客
02-05 1万+
一、客户端以XML格式向服务器端发送数据,并解析XML输出到控制台 代码如下:Emp类 public class Emp { private int id; private String name; private int age; private String gender; private int salary; public Emp(int id, String name
若依源码解析:用LoggingAspect进行日志处理
字节叔叔
05-20 1640
本文将深入探讨若依框架中的LoggingAspect切面的作用和重要性。LoggingAspect是若依框架中用于实现日志记录功能的切面组件,它通过切点和切面的概念,将日志记录逻辑与业务逻辑解耦,实现非侵入式的日志记录。文章首先介绍了切面编程和AOP的概念,然后重点讨论了LoggingAspect的作用,包括捕获方法调用、记录日志信息以及提供代码重用和可维护性等优势。此外,文章还解释了@Pointcut注解的作用,它用于定义切点表达式,精确定位目标方法。
若依系统富文本编辑框内容保存到后台样式被过滤问题
温柔已看透的博客
05-29 4977
若依系统富文本编辑框内容保存到后台样式被过滤问题 一.需求 进入页面,富文本编辑框里回显这条新闻内容,如下图, 然后可以在富文本编辑框里对它实现再编辑,编辑之后将html代码提交保存到后台数据库。可以点击详情页进行查看。 在提交到后台的过程中, 莫名被过滤了很多东西, 包括CSS、class等,只剩下了div标签了。 二.解决 只需一段代码即可搞定,如图: 默认防止XSS攻击是开着的,我们只需要将排除的链接添加到这里就可以了 ...
sql注入报错注入使用场景
最新发布
06-19
SQL注入是一种常见的Web安全漏洞,攻击者通过构造恶意的SQL查询语句,利用应用程序没有正确验证或转义用户输入的机会,将这些查询插入到应用程序的数据库查询中。这种攻击可能导致未经授权的数据访问、数据修改甚至系统破坏。 使用场景包括: 1. 用户提交表单:当用户通过网站表单提交数据(如搜索条件、登录信息等),如果没有对输入进行足够的验证和过滤,就可能成为SQL注入的入口。 2. URL参数:如果URL包含动态查询参数,而这些参数直接拼接到SQL查询中,如分页、排序等,也存在注入风险。 3. API接口:RESTful API服务如果直接将用户提供的参数用于构造SQL查询,同样可能被注入攻击者利用。 4. 内部系统:内部管理系统或者后台工具如果处理用户提供的查询字符串,没有采取安全措施,也容易受到攻击。 攻击者通常会尝试以下操作: - 获取敏感信息:获取数据库中的用户名、密码、订单信息等 - 修改数据:插入、删除或修改数据库中的数据 - 执行系统命令:利用某些数据库系统的特殊功能,执行操作系统命令 为了防止SQL注入,开发人员应采用参数化查询、预编译语句、输入验证和使用安全的编程库等方式来保护应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值