FreeMarker模板输出转义html

最新推荐文章于 2024-04-26 00:32:21 发布
最新推荐文章于 2024-04-26 00:32:21 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: FreeMaker 文章标签: 跨站脚本攻击 Spring MVC XSS html 转义 freemarker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_7550/article/details/82508994
版权

本文转载自:http://www.yshjava.cn/post/333.html

 

FreeMarker作为"通用"模版引擎, 默认情况下不会对model中的值进行html转义, 然而在web项目中, 为了防止跨站脚本攻击等问题, 必须在对model中的值进行转义.
解决办法:
方法1. 是使用 ${x?html} 可以用于对单个值的转义
方法2. 使用<#escape x as x?html> ... </#escape> 将需要转义的html代码包起来, 这样其中所有的值都会被转义了.
毫无疑问这两个方法都需要大量的重复操作, 如果我所有的模板都需要转义, 有没有一劳永逸的办法呢?
方法3. 使用自定义TemplateLoader

首先我们需要实现一个TemplateLoader. 代码如下:

public class HtmlTemplateLoader implements TemplateLoader {
    
    private static final String HTML_ESCAPE_PREFIX= "<#escape x as x?html>";
    private static final String HTML_ESCAPE_SUFFIX = "</#escape>";
    
    private final TemplateLoader delegate;

    public HtmlTemplateLoader(TemplateLoader delegate) {
        this.delegate = delegate;
    }

    @Override
    public Object findTemplateSource(String name) throws IOException {
        return delegate.findTemplateSource(name);
    }

    @Override
    public long getLastModified(Object templateSource) {
        return delegate.getLastModified(templateSource);
    }

    @Override
    public Reader getReader(Object templateSource, String encoding) throws IOException {
        Reader reader = delegate.getReader(templateSource, encoding);
        String templateText = IOUtils.toString(reader);
        return new StringReader(HTML_ESCAPE_PREFIX+templateText + HTML_ESCAPE_SUFFIX);
    }

    @Override
    public void closeTemplateSource(Object templateSource) throws IOException {
        delegate.closeTemplateSource(templateSource);
    }

}

 

为了和SpringMVC结合起来使用呢, 我们还需要自定义一个FreeMarkerConfigurer

 

public class CustomFreeMarkerConfigurer extends FreeMarkerConfigurer{
    
    @Override
    protected TemplateLoader getAggregateTemplateLoader(List<TemplateLoader> templateLoaders) {

        return new HtmlTemplateLoader(super.getAggregateTemplateLoader(templateLoaders));

    }
  
}

 然后在spring的xml配置中, 使用它来代替默认的FreeMarkerConfigurer即可

<bean id="freemarkerConfigurer" class="cn.ysh.studio.freemarker.SimpleFreeMarkerConfigurer">
	<!-- 其他配置跟之前相同 -->
</bean>

 当然,如果你觉得使用<#escape>标签不舒服的话,那么也可以自己对html字符串进行转义。HTML中的转义字符的数量不多,如下代码可以将带有跨站脚本攻击风险的html字符转义为安全字符(仅供参考):

String html = "8888</title><body><script type='text/javascript'>alert(\"跨站脚本\");</script>";
html = html.replace("'", "&apos;");//替换单引号
html = html.replaceAll("&", "&amp;");//替换&
html = html.replace("\"", "&quot;"); // 替换双引号
html = html.replace("\t", "&nbsp;&nbsp;");// 替换跳格
html = html.replace(" ", "&nbsp;");// 替换空格
html = html.replace("<", "&lt;");//替换左尖括号
html = html.replaceAll(">", "&gt;");//替换右尖括号

 

本文转载自http://www.cnblogs.com/nixil/archive/2012/04/23/2466364.html,并稍作修改!

iteye_7550
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
freemarker 替换(方括号)语法
Code-lover's Learning Notes
07-14 5850
注意: 这个特性从 FreeMarker 2.3.4 版本后才可用。 FreeMarker 支持一个替换的语法。就是在 FreeMarker 的指令和注释中用 [ 和 ] 来代替 ,例如下面这个例子: 调用预定义指令: [#list animals as being]...[/#list] 调用自定义指令: [@myMacro /] 注释: [#-- the comment --]
FreeMarker模板引擎-其他
06-12
FreeMarker是一个模板引擎,一个基于模板生成文本输出的通用工具,使用纯Java编写。FreeMarker被设计用来生成HTML Web页面,特别是基于MVC模式的应用程序。虽然FreeMarker具有一些编程的能力,但通常由Java程序准备...
防xss攻击总结
hw1287789687的专栏
08-04 145
原则 用户输入什么,数据库就存储什么. 在前端显示时,需要escape. html标签的title属性也需要escape 看一个title属性未escape得例子:    html代码:  所以html标签的title属性也需要escape. 但是,如果使用jQuery的attr方法设置title,则不需要escape: setPreviewOrgFullName:func...
freemaker如何生成HTML文件
最新发布
shiwen233的博客
04-26 371
FreeMarker 生成 HTML 文件的过程涉及创建 FreeMarker 模板、准备数据模型,并通过 FreeMarker 引擎将模板和数据模型结合以生成最终的 HTML 输出。如果想要将生成的 HTML 内容保存到文件中,可以将 Writer 替换为 FileWriter 或其他类型的 Writer,并指定输出文件的路径。在 Java 代码中,需要创建一个数据模型,这个模型通常是一个 JavaBean 或 Map,它包含了模板中需要的所有数据。
freemarker 转义字符
web开发
12-02 1110
在写自己的代码生成器,在用freemarker生成ftl模板的时候,有些ftl代码不需要在生成的时候就转化&amp;lt;@ww action="${foo}"&amp;gt;&amp;lt;/@ww&amp;gt;${${bar}}这些会导致异常出现 回答: ${r"${build.dir}"}${'$’}{build.dir}&amp;lt;#noescape&amp;gt...
freemarker转码
weixin_30244889的博客
03-09 385
第一种: 前台: <#setting url_escaping_charset='utf-8'> url="xxx.html?keyword=keyword?url" 后台: keyword=URLDecoder.decode(keyword, "UTF-8") ; 第二种: 直接后台代码转码: keyword = new Str...
FreeMarker(七)Html转义
bingguang1993的博客
02-24 1591
在不做任何处理的情况下,往页面传一串Html代码,它会嵌套到页面代码中,一起被编译并且显示。 比如:某个用户把自己的用户名写成a标签,最后显示出来的用户名就是一个超链接 例: //传递的参数 map.put("sp6", "这是一段带有攻击性的字符串<a href='https://www.baidu.com/'>请点击</a>"); 1 2 页面代码: <ht...
使用xml模板导出excel时遇到尖括号<>转义的问题解决
Jalen备忘录
11-20 1695
1. 问题描述 java freemarker使用xml作为模板,导出带有' 2. 问题解决 使用第三方jar包,apache common lang3  StringEscapeUtils.escapeXml( '橘子,' )
freemarker模板使用
12-13
html`用于转义HTML特殊字符,`?length`获取集合长度等。 3. **图片插入**: - 在Freemarker模板中插入图片,通常涉及两个步骤: - 将图片资源部署到服务器的静态资源目录,例如`/images/`。 - 在模板中通过相对...
freemarker模板
08-13
Freemarker模板是一种强大的、基于Java的开源模板引擎,用于生成动态内容。它主要用于Web应用程序,尤其是与Spring框架集成时,但也可用于任何需要将数据模型转化为文本输出的场景,如电子邮件生成、报告制作等。在...
java使用Freemarker生成PDF以及HTML等文档.zip
10-04
Freemarker 是一个强大的模板引擎,它允许开发者通过模板语言与数据模型相结合来生成文本输出,如 HTML、PDF 或其他文档格式。以下是关于这一主题的详细知识: 1. **Freemarker 概述**: - Freemarker 是一个开源...
FreeMarker_PDF中文学习文档
06-27
FreeMarker 是一个强大的模板引擎,主要用于生成动态HTML、XML或其他格式的文本输出,尤其是在Java Web应用中被广泛应用。它是一个开源项目,旨在让程序员和非程序员(如网页设计师)能够协同工作,通过分离业务逻辑...
Spring MVC 学习总结(七)——FreeMarker模板引擎与动态页面静态化
weixin_30270561的博客
08-01 1011
模板引擎可以让程序实现界面与数据分离,业务代码与逻辑代码的分离,这就提升了开发效率,良好的设计也使得代码复用变得更加容易。一般的模板引擎都包含一个模板解析器和一套标记语言,好的模板引擎有简洁的语法规则、强大的功能、高效的渲染效率、详尽的帮助说明与不断的更新与维护。常见的前端模板引擎有: 常用的java后台模板引擎:jsp、FreeMarker、Velocity等。 请不要迷恋...
FreeMarker 自动转义和格式化HTML和XML输出,预防xss
weixin_33766805的博客
08-09 1410
为什么80%的码农都做不了架构师?>>> ...
FreeMarker--表达式和运算符的用法(全面/有示例)
IT利刃出鞘的博客
08-17 3331
本文介绍FreeMarker的表达式和运算符的用法。 表达式是FreeMarker的核心功能。表达式放置在插值语法(${...})之中时,表明需要输出表达式的值,表达式语法也可以与FreeMarker标签结合,用于控制输出
word导出时freeMarker转义字符的处理
hxwab的博客
06-02 7661
根据ftl模板导出word时,如果填充的字符含有特殊字符、&,那么导出的word是无法打开的。因为这些字符在导出word时被认为是ftl的标签,正常导出后再打开是会报错。如果以xml的方式打开,会发现所有内容都是完整的,唯独上面三个特殊字符出问题。 为了解决这个问题,首先我新建一个word,在里面填上上面三个特殊字符,然后保存为xml。在该xml中找到对应的字符,发现已经转义了  < 对应
freemarker常用技巧
alvinchen1010的专栏
05-03 178
1.   freemarker 简介 1.1. 概述 FreeMarker 允许 Java servlet 保持图形设计同应用程序逻辑的分离,这是通过在模板中密封 HTML 完成的。模板用 servlet 提供的数据动态地生成 HTML模板语言是强大的直观的,编译器速度快,输出接近静态 HTML 页面的速度。 ...
freemaker对于页面的内容的展示,对特殊字符的转义
lilovfly的专栏
12-13 6711
今天,出了一个问题,就是freemarker中的字符串展示,我需要在js中获取那个值,结果那个值中包含换行,导致js报错,出现了这个问题,查了一些资料,终于找到了一个合适的解决方式。     如何避免字符串在html中当成普通的字符串转义?答案如下:${content?html}。    如何避免字符串的特殊字符(例如:换行)以及在js中出现转义问题? 答案是:${content?js_str
Freemarker模板生成Word,特殊字符处理的三种方法
YJ博客
04-17 5110
方法一:处理字段中指定的特殊字符 可灵活转义待处理的特殊字符,但是如果所有字段都需要转移的话,就比较繁琐,不推荐使用 content = content.replace("<", "&lt;"); content = content.replace(">", "&gt;"); content = content.replace("&", "&amp;"...
freemarker模板生成html文件
12-24
freemarker是一种模板引擎,可以用来生成HTML文件。它提供了一套简单而强大的标记语言和内置函数,可以将数据和模板结合起来,生成最终的HTML文档。 要使用freemarker生成HTML文件,首先需要准备好数据模型,也就是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值