Freemarker中如何避免xss漏洞

最新推荐文章于 2024-09-06 22:52:33 发布
最新推荐文章于 2024-09-06 22:52:33 发布
阅读量3.5k 收藏
点赞数
分类专栏: Java 文章标签: freemarker xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_qiao/article/details/93129780
版权
本文介绍了XSS攻击的概念及其危害,并详细讲解了在Freemarker中如何解决XSS问题。通过使用`?html`转义或者全局启用`escape`标签,可以在模板渲染时自动转义变量,避免XSS漏洞。同时,文章还提到了特殊情况下的处理方式,如需要展示原始HTML内容以及变量被多次转义的影响。
摘要由CSDN通过智能技术生成

什么是XSS漏洞

试想一下,如果我们开发一个订单系统,订单名称如果没有做限制,允许用户输入任意字符,那么就有产生XSS的危险。攻击者可以很容易编写一个恶意JS脚本,然后将当前登录用户的cookie或者其他敏感信息抓取到,发送给攻击者自己,这就是XSS(跨站脚本)攻击。如何解决这个问题,首先我们想到的是在用户输入订单的时候,我们对订单名称做限制,不允许输入特殊字符。这样是可以避免的,不过对于一个大的系统来说,用户可以输入的字段太多了,如果能够全部校验,是最好的。如果不能做的话,还可以让前端在做展示的时候进行html转义处理一下,这样原本scirpt标签以及当中的内容就被当做一个字符串展示出来,而不是当做代码执行了。一般现在的reactjs等前端框架已经默认支持防xss了。今天我遇到的问题是,有一部分freemarker写的页面存在XSS的问题。

FreeMarker中解决XSS

可以通过对用户输入的字段进行html转义,来有效的避免XSS问题。freemarker模板中的变量通过 v a l u e 这 样 的 形 式 引 入 , 但 是 挨 个 修 改 成 {value}这样的形式引入,但是挨个修改成 value{value?html}的形式未免工作量太大;查阅官方文档,通过escape标签可以对整个模板中$号引入的变量全部进行一次html转义。比如:

<#assign x = "<test>">
<#macro m1>
  m1: ${x}
</#macro>
<#escape x as x?html>
  <#macro m2>m2: ${x}</#macro>
  ${x}
  <@m1/>
</#escape>
${x}
<@m2/>

会输出:

  &lt;test&gt;
  m1: <test>
<test>
m2: &lt;test&gt;

这种方式完全满足现在的改造需求。在这个项目中,freemarker模板是存储在数据库中

最低0.47元/天 解锁文章
he_qiao_2010
关注
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击 )
本本本添哥
03-31 455
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序常见的漏洞
漏洞复现】金和OA jc6 viewConTemplate.action FreeMarker模板注入漏洞
qq_67810151的博客
03-14 771
金和OA viewConTemplate.action接口存在FreeMarker模板注入漏洞,未授权的攻击者可以通过该漏洞远程执行代码。
修复 Freemarker 模板注入漏洞的 Configuration 重写方案
最新发布
gitblog_09763的博客
09-06 218
修复 Freemarker 模板注入漏洞的 Configuration 重写方案 freemarker.zip项目地址:https://gitcode.com/open-source-toolkit/d923f 描述 本资源文件提供了一个针对 Freemarker 2.3.31 版本的 Configuration 类重写方案,旨在修复 Freemarker 模板注入漏洞。该方案适用于无法平滑升级...
Spring Boot从入门到进阶教程系列 -- 集成Freemarker配置(包含预防XSS攻击,多角色权限标签实现)
shadowsick的专栏
06-22 2148
上一个教程我们讲解如何配置SpringMVC以及自定义JSON响应实体,本次教程我们将整合Freemarker配置到Spring Boot,因为我们日常开发必须是要用到模版技术,比如Freemarker,Velocity等最常用;如对上篇教程感兴趣的可点以下链接【Spring Boot从入门到进阶教程系列 -- SpringMVC配置(包含自定义FastJSON配置)】下面我们直接开启代码之旅步骤...
freemarker模版注入
l_l_c_q的博客
08-25 1047
freemarker模版注入
freemarker默认escape html 防范xss
weixin_33757911的博客
10-15 768
为什么80%的码农都做不了架构师?>>> ...
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
如何防止XSS攻击?
qq_32907491的博客
08-08 379
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 内嵌的文本,恶意内容以 script 标签形成注入。在内联的 JavaScript ,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
freemarker采坑
Chandler的博客
08-05 378
option/aOption..但凡含有option的都会被当做是freemarker的关键字:如果model传入的对象含有这个字段,不管对应字段是否有值,都会报异常。
XSS漏洞攻守之道
坏蛋呆呆的博客
04-28 2480
1.1 什么是XSS漏洞 跨站脚本攻击(Cross Site Script,为了不和css混淆,故将其缩写为XSS)通常发生在客户端,攻击者在Web页面插入恶意的JavaScript代码(包括VBScript和ActionScript代码等),用户浏览此页面时,会执行这些恶意代码,从而使用户受到攻击。本质:是一种HTML的注入,恶意代码数据当成了HTML代码的一部分被执行。 1.2 XSS的攻击形式 DOM跨站攻击:攻击者在为规范JavaScript的HTML页面插...
Pikachu Xss的简单防御剖析
m123456wer的博客
04-20 229
Pickachu Xss的简单防御剖析
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 2007
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
online-sale-example:简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护
05-14
online-sale-example 简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护
修复 Freemarker 模板注入漏洞
kylerduane的博客
08-24 1215
解决Freemarker 模板注入漏洞.,故可以使用我们自己定义的。
FreeMarker 自动转义和格式化HTML和XML输出,预防xss
weixin_33766805的博客
08-09 1463
为什么80%的码农都做不了架构师?>>> ...
Freemarker模板注入:CVE-2020-7477
守拙的博客
08-04 2405
一、漏洞名称: FusionAuth存在Freemarker模板注入导致远程命令执行 二、漏洞编号: CVE-2020-7477 三、漏洞描述: 在FusionAuth 1.11.0之前版本存在注入漏洞,经过身份验证的用户被允许编辑电子邮件模板或主题, 远程攻击者可利用该漏洞调用在系统上执行任意命令。 四、影响版本: FusionAuth <= 1.11.0 五、漏洞分析 通过对直接编辑freemarker模板,调用freemarker.template.utility.E
Java FreeMarker模板引擎注入深入分析
蚁景网安学院
11-22 1405
最近和 F1or 大师傅一起挖洞的时候发现一处某 CMS SSTI 的 0day,之前自己在复现 jpress 的一些漏洞的时候也发现了 SSTI 这个洞杀伤力之大。今天来好好系统学习一手。
关于FREEMARKER的一些总结
洋葱水墨
07-27 2062
问题代码: ${student.birthday},STUDENTBIRTHDAY为DATE类型的 问题:13:03:09.735 ERROR freemarker.runtime - Can't convert the date to string, because it is not known which parts of the date variable are in use.
FreeMarker文手册2.3.16版
手册不仅介绍了FreeMarker的基本概念,还提供了详细的使用指南和技术规范。 **文档规约** 手册遵循一定的编写规则,旨在确保信息准确性和易读性。同时,文档提供了联系方式,方便读者在遇到问题时能够得到帮助。 ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值