关于Grails的GSP中Form表单防止注入问题

最新推荐文章于 2021-06-25 12:03:10 发布
最新推荐文章于 2021-06-25 12:03:10 发布
阅读量1.3k 收藏
点赞数
分类专栏: java Grails 文章标签: field name fieldValuebean user grails java Java JAVA user.name
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/robbenren/article/details/8243396
版权
java 同时被 2 个专栏收录
17 篇文章 0 订阅
订阅专栏
Grails
10 篇文章 0 订阅
订阅专栏

在Grails项目中发现,Grails框架居然“不能”防止form表单的注入,感觉很是奇怪,然后查找原因发现,在GSP页面中获取从服务器传来的数据,有2种写法:

1.${fieldValue(bean: user, field: "name")};

2.${user.name}

最开始完全没有注意这两种有什么不同,不过通过这次测试发现,这两种的确有一点不同,对于输入框输入”<input type=”text” name=”user”/>“的信息,也就是注入,会发现存储到数据库中也是上面字符串,并没有进行转码,然而从数据库读取这个数据解析到HTML的时候,会发现GSP中写法不一样解析就不一样。

对于1的情况而言,GSP会把特殊字符转义了,既是把上面的字符串转义成:

&lt;input type=&rdquo;text&rdquo; name=&rdquo;user&rdquo;/&gt;

对于2的情况而言,不会转义,会原原本本的输出,<input type=”text” name=”user”/>,继而出现一个输入框。

但是可以使用${user.name.encodeAsHTML()}解决转义问题。

总结:就目前而言,我倾向于用第二种写法,简洁一点。

robbenren
关注
专栏目录
Grails案例
07-28
- 使用`g:`标签库简化视图开发,如`g:createLink`生成URL,`g:form`创建表单,`g:each`遍历数据等。 8. **测试(TestGrailsDemo)** - Grails内置了单元测试和集成测试支持,通过`grails test-app`命令执行测试,...
grails login
08-16
在`grails-app/views/user/login.gsp`创建登录表单,使用`<g:form>`标签进行提交,并在`success.gsp`显示登录成功后的界面。 **9. 测试与调试** 运行`grails run-app`启动应用,访问...
form表单mysql#号注入
weixin_34401479的博客
10-12 420
form表单mysql#号注入 #在mysql只用来注释作用,但是它却很受***欢迎 演示两种简单input输入#号的mysql***: 数据库管理员账号user表 第一种(账号***,密码随便填): 第二种(账号随便填,密码***): 总结:特别注意写表单,一定要自己过滤掉#号。注意框架默认是没有过滤掉#号的。比如本文用到的TP3.2.2 The end 转载于:https://blog.5...
Grails 安全性
justJavaC的专栏
07-05 232
  安全性 Grails差不多和Java Servlets一样可靠。然而由于JVM运行代码的特性,Java servlets对一般的缓冲区溢出和恶意URL使用是极为安全和免疫的。 Web安全问题通常由于开发人员的无知过错造成的,Grails提供了一些帮助,可以避免常出现的错误,使安全应用更加容易编写。   Grails可以自动做什么 Grails拥有一些默认的内置安全...
xss+sql 注入拦截form表单和json数据非法字符
王威振的博客
01-19 6629
首先创建过滤器 /** * Created by wwz on 2018-10-19. */ public class XssFilter implements Filter { private final List<String> arrays = Arrays.asList(new String[]{"<",">","insert","delete","select","drop","update","truncate"}); private final ...
Grails掺杂注射的遗传陷阱
03-31 102
这篇博客文章介绍了将Grails的依赖项注入与继承结合使用时应注意的一个小陷阱。 我认为最好用一段示例代码来解释该问题。 因此,让我们看一下Grails控制器的以下两个定义。 classFooController{ TestServicetestService deffoo(){ //dosomethingwithtestService } }...
form到bean,反向注入还是主动提取
一点一点的努力~~~
08-13 256
一、反向注入 很多Web框架将formfields自动转换成bean或相应类型,然后设置到action的setter方法。这样就可以很方便的在action获取fields,webwork是直接注入到action,Struts则有一个formbean做转,和实际的bean还不一样,有点类似DTO的概念,其实觉得Struts的formbean有点鸡肋的感觉。我想很多人对这种反向注入觉...
Grails帮助文档
01-12
本篇文档将深入探讨Grails的核心概念、关键组件以及它们在实际开发的应用。 ### 1. Grails概述 Grails是一个全栈框架,它整合了Spring、Hibernate、Groovy on Grails(GORM)等成熟的技术,提供了MVC(模型-视图...
Grails标签详解与应用
"Grails标签是Grails框架用于构建视图层的一种强大的工具,它提供了丰富的标签库,简化了GSP(Groovy Server Pages)页面的开发。这些标签包括了表单处理、链接创建、数据迭代、逻辑控制等多个方面,极大地提高了...
一步一步学grails(6)
01-21
### Grails 入门教程知识点总结 #### 一、登录页面设计与实现 **知识点概述:** 本章节主要介绍如何为Grails应用设计并实现一个登录功能,包括创建登录所需的域类、设置默认管理员账户、构建登录页面以及处理登录...
Django的form提交js注入问题
李波的blog,一名喜欢编程和分享技术的研究僧~
03-30 393
我的网站刚刚正式上线,就被人用js注入了alert。也是无聊,我正忙着笔试呢没空修复。现在修复一下。 就说对form提交的数据进行js转义就行了。 方法一 在django用escape 或 escapejs过滤器 其实django模板已经做了防止js注入,但是我们又想在页面正常显示我们在form表单提交的和标签等。所以用了safe过滤器告诉浏览器是可信的,正常渲染。 {{ content | safe }} 但是,这样就会造成恶意人员实施js注入: 在表单评论 <script>aler
gsp页面标签
淡茶的博客
07-25 4189
gsp页面标签
ENCTYPE用法
woshixushigang的专栏
01-01 235
定义和用法 enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码。 默认地,表单数据会编码为 "application/x-www-form-urlencoded"。就是说,在发送到服务器之前,所有字符都会进行编码(空格转换为 "+" 加号,特殊符号转换为 ASCII HEX 值)。 实例 在下面的例子,表单数据会在未编码的情况下进行发送: &lt;form...
web前端安全之form表单提交前加校验_防止xss攻击
Mr_CZL的博客
07-02 8317
如果还不知道xss的话,网上有好多文章解释。xss的攻击种类很多。作为一名前端小白,本文只从前端常用实用的角度简单写了一下。这类场景就是form表单的提交。为防止xss攻击,表单的每个字段提交需要做校验或者编码。校验的话先不说,网上很多正则,比如校验手机号或者邮箱之类的。重点说的就是编码。提交前需要对提交的内容进行编码,防止特殊的标签之类的提交到后台。比如&lt;script&gt;alert('...
sqlmap之(六)----POST登陆框注入实战
热门推荐
fendo
02-28 8万+
利用sqlmap进行POST注入,常见的有三种方法: 注入方式一: 1.用Burp抓包,然后保存抓取到的内容。例如:保存为post.txt,然后把它放至某个目录下 2.列数据库: sqlmap.py -r "c:\Users\fendo\Desktop\post.txt" -p n --dbs 注:-r表示加载一个文件,
html 表单注入,csrf表单注入
weixin_34138673的博客
06-25 433
将生成的唯一token传入后台隐藏表单,并保存在session,接受的时候判断与之前的是否相同session_start();if (_POST['token'] == name = strip_tags(name = substr(name = cleanHex($name);}else{//stop all processing! remote form posting attempt!}}...
php表单提交数据的验证处理(SQL注入和XSS攻击等)
wml
05-27 7409
代码实例:<?php $user_name = strim($_REQUEST['user_name']);function strim($str) { //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 //htmlspecialchars() 函数把预定义的字符转换为 HTML 实体。 //预定义的字符是: // & (和号)成为 & //
由一次登录表单注入引起的复习
eldn__的专栏
04-21 1735
很久没有玩这些东西了,感觉都有点健忘了,呵呵~~ 注入:很明显都是冲着数据库去的,凡是有注入漏洞的网站大都是由用户(浏览器)传参并带入数据库查询时检查不严格造成的。 注入,从提交数据到Web服务器的方式上来讲分为2种:Get 和 Post 。        其Get的表现形式有:在诸如:http://www.xxx.com/news_lists.asp?id=X-X-X,根据其传入
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值