Laravel之模板继承、不解析模板和防xss攻击

最新推荐文章于 2022-03-26 09:09:07 发布
最新推荐文章于 2022-03-26 09:09:07 发布
阅读量484 收藏
点赞数
分类专栏: Laravel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46179813/article/details/106222476
版权
1、模板继承
<!-- 继承parent模板 -->
@extends('parent')

<!-- 修改它的left属性 -->
@section('left')
	<h1>这是模板继承</h1>

@endsection


子类
<!-- 继承parent模板 -->
@extends('parent')

<!-- 修改它的内容 -->
@section('content','Blade之继承')

@parent
<!-- 修改它的left属性 -->
@section('left')
	<h1>这是模板继承</h1>

@endsection

@section('right')
	<p class="text-danger">万般皆是命,半点不由人</p>
@endsection

父类
<body class="container">
	<h1>@yield('content')</h1>
	<div>
		<div class="left">
			<ul>
				<!-- 声明一个属性 -->
				@section('left')
					sssssss
				<!-- 方法 -->
				@show
			</ul>
		</div>

		<div class="right">
			<ol>
				@yield('right')
			</ol>
		</div>
	</div>
</body>
2、文档
#### 8.4 模板包含与继承
包含:
@include('msg.sub') 包含views 下的msg/sub.blade.php
继承:
模板继承比模板包含更强大.
如下 , 一个典型的网页结构
头部和尾部都一样 , 就中间的左右内容不一样.
-------------

include 模板来做 , 是把头尾拿出来header , footer;
然后@include('header') , @include('footer'),需要@include 两次 ;
而继承则是把header/footer 公共框架写在父模板中,继承一次父模板.
模板继承的概念和面向对象的继承非常相似,看下例:
<!-- 父模板 parent.blase.php -->
<html>
<head>
<title>Hello , @yield('title')</title>
</head>
<body>
<div>
@section('right')
<h3><p>this is parent's body,please rewrite it!</p></h3>
@show
</div>
<div class="container">
@yield('content')
</div>
</body>
</html>
如你所见,该文件包含了典型的 HTML 语法。不过,请注意 @Section 和 @yield 命令。顾名思义,@Section 命令定义了视图的一部分内容,而
@yield 指令是用来显示指定部分的内容。
父模板定义right方法,字模板继承right并重写方法
在这里@yield只是占位的作用
<!-- 子模板 child.blade.php-->
@extends('parent')
@section('title','MrChi Blog')
@section('right')
<h2><p>this is mrchi's blog,thanks to give me a active!</p></h2>
@endsection
@section('content')
<p>hello mrchi:I want to tell you ,this is my country!</p>
@endsection

根据面向对象的知识,子模板的同名方法覆盖父类方法.
同时,子类right 方法中引用的父类方法.
组件&插槽
组件和插槽给内容片段(section)和布局(layout)带来了方便,不过,有些人可能会发现组件和插槽的模型更容易理解。首先,我们假设有一个可复
用的“alert”组件,我们想要在整个应用中都可以复用它:
//alert.blade.php
<div class="alert alert-danger">
<div class="alert-title">{{ $title }}</div>
{{ $slot }}
</div>
{{ $slot }} 变量包含了我们想要注入组件的内容,现在,要构建这个组件,我们可以使用 Blade 指令 @component:
//使用组件
@component('alert')
@slot('title')
Forbidden
@endslot
You are not allowed to access this resource!
@endcomponent
8.5 不解析模板和防xss攻击
在一些前端模板引擎中 , 也有可能用{{}} 做标签边界,
为防止blade 模板去解析 , 前面加@ 符号阻止解析 .: @{{$jsvar}}XSS 攻击:
['code'=>'<script>alert(1)</script>']
输出到 view 层,看源码:
&lt;script&gt;alert(1)&lt;/script&gt;
如果确实不需要实体转义 , 可以在变量两边 加 !! (1个大括号,不是两个);
例 : {!!$code!!}
古雅学长
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel5中XSS跨站攻击的方法
10-21
主要介绍了Laravel5中XSS跨站攻击的方法,结合实例形式分析了Laravel5基于Purifier扩展包集成HTMLPurifierXSS跨站攻击的相关操作技巧,需要的朋友可以参考下
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
Laravelxss攻击
Sumshine12.5
04-10 2861
XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 解决办法:永远不要信任用户提交得数据。 这里我们通过HTMLPuifier for Laravel 对用户提交的内容过滤 安装HTMLPurifi...
Laravel 项目的 XSS 攻击解决方案
Mr_Lewis的博客
01-09 3197
一、XSS概述 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行...
【转】Laravel XSS攻击
范特西的博客
01-16 8305
目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击
laravel,视图文件中将模板变量代码注释,会出现的一个怪现象
仗剑天涯,从摘要开始
12-12 124
今天在laravel测试代码的时候发现一个很有意思的现象,当时他妈的就换个变量名字就出错了,很是愤怒,后来挨个测试,找到了问题所在出,以后在注释代码时一定要注意,这是文件小,如果文件大,问题出在注释掉的代码中,得有多无语,谁会想到的注释掉的代码还会影响运行。。可能框架里这个{{}}级别太高吧 ###正常运行时的情况 控制器中的方法 视图中的代码 结果是报以下错 把注释删掉,运行成...
Web安全之XSS攻击御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
xss御之php利用httponlyxss攻击
10-26
主要介绍了xss御之php利用httponlyxss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
laravel+markdown中html标签不解析
渡目成书
12-24 1290
laravel+markdown中html标签不解析,这种情况实在很不友好 {{ $gossip-&gt;markdown_html_code }} 看到的一堆带标签的原样输出到页面上 我们需要把存放在数据库中的标签解析出样式出来,可以用下面的方式解析! {!! $gossip-&gt;markdown_html_code !!}//单括号 ...
Laravel开发-laravel-xss-filter
08-28
Laravel开发-laravel-xss-filter 过滤XSS的用户输入,但不要过滤其他HTML
laravel8 XSS攻击处理方案
zb0109的博客
03-26 839
1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userInput, function (&$userInput) { $userInput..
laravel8 实现XSS处理方案
daxianyu666的博客
03-01 360
内容摘自Laravel XSS: Examples and Prevention (stackhawk.com) 1.新建中间件 php artisan make:middleware XSS 2.在中间件中添加以下内容 public function handle(Request $request, Closure $next) { $userInput = $request->all(); array_walk_recursive($userIn
【laralve】在控制器里边写html在视图直接输出不解析
咔咔博客
07-22 985
默认情况下,使用{{ $var }}标签输出字符串,Blade模板引擎会自动转义(escape)HTML字符,如果需要原生输出需要使用{!! $var !!}标签! 视图: 显示效果: 修改后: 效果: ...
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3767
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
Laravel Blade渲染模板简单分析--坑
匆匆忙忙
01-17 1985
https://segmentfault.com/a/1190000003906422
Laravel模板实体转义带来的坑
webbc的博客
05-01 8172
问题最近在Laravel项目中用到了百度编辑器,插入到数据库我保存的是原始的html标签代码,没有进行实体转义。然后在修改的时候,需要读取到数据库中的数据,进行回显,这时候竟然在编辑器里面显示html标签代码<p>123</p>,这让我很尴尬,因为以前在tp框架中也是这样写的,但是没有问题。搜索之路在知道问题之后,我就开始找百度了,因为一开始的时候我并不知道是框架的原因,我以为是百度编辑器版本的原因
Laravel blade模板转义html标签问题
Gino_tkzzz的博客
07-13 6634
Laravel blade模板转义html标签问题: 后台textarea提交到表里面的数据展现到前端页面时(在后台已使用nl2br()函数进行转换),直接显示如下: 很尴尬!!! 解决方法如下:   {!! $res-&gt;content !!} 中间部分是需要输出到页面的内容 使用{{}}会自动使用php中的htmlspecialchars方法来转义成实体,然后输出 上...
AntiSamyXSS攻击
最新发布
07-22
AntiSamy是一个用于御跨站脚本攻击XSS)的Java库。它的主要目标是止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值