velocity模板中无法写入cookie

最新推荐文章于 2020-06-29 16:35:38 发布
最新推荐文章于 2020-06-29 16:35:38 发布
阅读量244 收藏
点赞数
分类专栏: 软件 - JAVA 文章标签: velocity iBATIS Spring

     系统介绍:

            系统使用webwork2.2 + spring + ibatis ,页面采用velocity进行渲染。

 

     碰到的问题:

           最近在搞系统安全方面的问题,要修复csrf漏洞。做法是在对应的表单和相应域里植入token,在表单提交的时候,对表单的隐藏域token和cookie中的对应值比对,如果是匹配,那么是合法的,否则为非法的。

           在实施的过程中发现有一些页面能校验通过,有一些不能通过校验。

 

      问题排查和解决:

我发现http response 在写数据的时候会有这样的的判断:
1. response 会首先把数据append 到Buffer中,该buffer大小为(8192字节)
2. 如果数据累计达到 8192 字节后,response 会直接写入到 response.ServletOutputStream  中,同时把 isCommited 设置为 true
3. 我们有一些页面中的 $csrfToken.hiddenField 在文本的8192字节之后,故此时response.isCommited = true,所以无法写入Cookie。而其他一些页面中 $csrfToken.hiddenField 在文本的8192字节之前,就没有问题。
4. 现在如果把$csrfToken.hiddenField分成两步来做,A.在页面顶端 #set($csrfStr = $csrfToken.hiddenField ) B.在对应的form中增加:$csrfStr

 

     ok,问题到此解决。

 

iteye_19961
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
模板工具(二)——VelocityTools
dananhai381的专栏
09-21 9529
应该算是Velocity的扩展,为了Velocity更好用。包括GenericTools  VelocityView  VelocityStruts三个子项目,其VelocityStruts是为了与struts整合服务,此处不介绍。 GenericTools 为j2se提供tools使用,具体tools如下:          DateTool:  对Date操作:格式化、比较等
Velocity模板的学习
lapland的博客
03-28 2629
Velocity:是一个基于Java的模板引擎,可以让视图的设计者在web页面引用java代码定义的数据对象和命令。web designers只需要将精力用于视图外观设计上,而java程序员只需要关心如何写出高效简洁的java对象以实现业务逻辑。Velocity会将它们组装到一起,相比传统的jsp,velocity彻底的将避免在视图设计出现java代码。 VTL(Velocity Templ
velocity学习笔记
勤奋的asialee的博客
01-09 292
转载自:http://wiki.hotoo.me/Velocity-Notes.html Velocity Notes 变量名 $name 为空时打印变量本身。 $!name 为空时打印空字符串(不打印任何内容)。 ${name} 类似 $name,为空时原样打印。但可以将变量和连续的字符串分隔,例如:${name}space。 $!{name} 类似 $!name,为空...
Cookie实战项目1 用Cookie获取用户名信息 技术 Cookie+JQuery
wenteryan的博客
04-15 4077
Cookie获取用户名信息 本次实战巩固CoooCoookikie与Jquery基础知识。针对初学者学习,大牛勿喷!!!哈哈。。。 浏览效果图编写代码 由于比较简单,我就不多说了。。大家看代码。。复制,测试吧!!! <script type="text/javascript" src="js/jquery-2.1.1.min.js"></script> <script type="text
velocity的使用
飞血泪无痕的博客
01-21 4293
velocity是什么 Velocity应用于web开发时,界面设计人员可以和java程序开发人员同步开发一个遵循MVC架构的web站点,也就是说,页面设计人员可以只关注页面的显示效果,而由java程序开发人员关注业务逻辑编码。Velocity将java代码从web页面分离出来,这样为web站点的长期维护提供了便利,同时也为我们在JSP和PHP之外又提供了一种可选的方案。 velocit
JAVA velocity模板引擎使用实例
01-08
velocity使用1.7版本。 在win7下使用intelliJ IDEA建立一基于tomcat的web app项目,命名为todo_web,设置path为/todo,导入velocity相关jar包。只导入velocity-1.7.jar这个包可能会报错,根据提示再导入velocity自带...
SpringBoot Velocity 代码生成模板
08-19
SpringBoot集成Velocity代码生成模板是现代Java开发的一个重要工具,它极大地提高了开发效率,尤其是在处理大量数据表映射到业务层代码时。Spring Boot作为一款轻量级的框架,简化了初始化和配置过程,而Velocity...
Velocity模板技术语法详细介绍
12-29
Velocity模板技术语法详细介绍,包括很详细的示例代码 1.变量………………………………………………………………………………1 2.循环………………………………………………………………………………2 3.条件语句...
在开发经常使用到cookie,既然如此就需要cookie的工具类啦
wangjinb的博客
06-29 116
package com.wwjjbt.sob_blog_system_mp.utils; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class CookieUtils { public static final int default_age = 60*60*24*365
velocity获取session值并判断是否成
快乐每一天
03-11 395
[code="vm"] #if(!$!session.getAttribute("LogonPassport")) 登录 #else 欢迎[$!session.getAttribute("LogonPassport").realName]进入首页 #end [/code] // $!session.getAttribute("LogonPassport")里...
Velocity 获取session的属性
mthyle的博客
01-24 2479
多方查找、调试验证,书写格式如下: $session.getAttribute(session名).属性 判断我是这样写的 #set($name=$session.getAttribute("user").iskoreanbranch) #if($name==1)
velocity 像jsp一样获取下标
走过程序员的路
09-20 2773
Velocity 对于数组的操作功能不是很好,比如说,要输出数组的第 3 个元素,除了 foreach 外没有其他办法了。 如果 foreach 是集合的话,Velocity 可以直接调用方法的,调用集合的 size() 可以获得它的大小。 然后再用 $velocityCount 来判断元素的,$velocityCount 是 foreach 内置的值,默认从 1 开始,再用 siz
springboot+velocityLayout和velocity-tools
热门推荐
lileronglilerong的专栏
01-31 1万+
习惯每次做完一个项目把项目所得进行分享: velocity作为模板语言已经存在很久,近期接触下来感觉用的还行,  一:  先介绍下velocity-tools的好用之处,接下来再介绍如何整合。 整合了velocity-tools就不需要再导入什么标签了,这个velocity-tool的工具有很多可以用于处理页面数据的东西。如格式化金额:$number.format("#0.00",
velocity模板JavaScript代码块不生效
最新发布
07-12
1. 检查Velocity模板的语法错误:请确保您的JavaScript代码块正确嵌入在Velocity模板,并且没有任何语法错误。可以通过在代码块外部插入一些简单的Velocity语句来测试模板是否正确解析。 2. 确保正确引入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值