velocity 的 escape实现

最新推荐文章于 2021-03-10 15:41:42 发布
最新推荐文章于 2021-03-10 15:41:42 发布
阅读量247 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/SEC-fsq/p/7249579.html
版权 
EscapeHtmlReference的escape方法调用以下方法实现:
StringEscapeUtils.escapeHtml(param);  再调用
org.apache.commons.lang.Entities.HTML40.escape(writer, string);
代码如下:
public void escape(Writer writer, String str) throws IOException {
    int len = str.length();

    for(int i = 0; i < len; ++i) {
        char c = str.charAt(i);
        String entityName = this.entityName(c);
        if(entityName == null) {
            if(c > 127) {
                writer.write("&#");
                writer.write(Integer.toString(c, 10));
                writer.write(59);   //就是个分号
            } else {
                writer.write(c);
            }
        } else {
            writer.write(38);
            writer.write(entityName);
            writer.write(59);
        }
    }

}

我们也可以自己调用
StringEscapeUtils.escapeHtml(param);
比如:
String param = request.getParameter("p");
String x = StringEscapeUtils.escapeHtml(param);
System.out.println(x);

输入 <script>alert(/xxx/)</script>  输出 &lt;script&gt;alert(/xxx/)&lt;/script&gt;


velocity 也可以自定义 EventHandler 处理xss,配置EscapeHtmlReference 替换成自己的EventHandler 
<bean id="velocityConfigurer"
      class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">
    <property name="resourceLoaderPath" value="/WEB-INF/pages/"/>
    <property name="velocityProperties">
        <props>
            <prop key="input.encoding">utf-8</prop>
            <prop key="output.encoding">utf-8</prop>
            <prop key="eventhandler.referenceinsertion.class">org.apache.velocity.app.event.implement.EscapeHtmlReference</prop>
            <prop key="eventhandler.escape.html.match">/^(?!\$\!?unesc_).*/</prop>
        </props>
    </property>
</bean>


转载于:https://www.cnblogs.com/SEC-fsq/p/7249579.html

weixin_30539625
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eventhandler java_Velocity之EventHandler
weixin_36087905的博客
02-23 200
EventHandler(接口):Base interface for all event handlers仅仅是一个事件侦听标志IncludeEventHandler(接口):Event handler for include type directives (e.g. #include(), #parse())Allows the developer to modify the path of...
VM escape - QEMU Case Study
子曰小玖的博客
05-08 829
--[ Table of contents 1 - Introduction 2 - KVW/QEMU Overview 2.1 - Workspace Environment 2.2 - QEMU Memory Layout 2.3 - Address Translation 3 - Memory Leak Exploitation ...
velocity使用经验积累
物我相依,物我相望
01-09 890
html内容被转义 场景 hello world! 其实想要的效果是 hello world 解决方案 #noescape()$!{msg}#end     这样就可以防止内容被转义
velocity源码分析:事件处理
madding
08-07 4986
velocity提供了一些扩展点,如: 指令扩展、事件处理等。本文主要阐述基于事件处理的扩展,并提供一些事例。 本文讨论的velocity版本如下: URL: http://svn.apache.org/repos/asf/velocity/engine/trunk Repository Root: http://svn.apache.org/repos/asf Repository UU
velocity 如何使用webx3+velocity显示html格式数据 转义尖括号
Code-lover's Learning Notes
08-10 4108
1、首先在webx3的webx-component-and-root.xml文件中进行配置,一般默认是已经配置好的,查看要是没有的话,再进行配置,如下:<!-- Template渲染服务。 --> <services:template xmlns='http://www.alibaba.com/schema/services/template/engines' searchExtensions='t
Velocity模板解析
12-27
Velocity模板解析是Apache软件基金会开发的一个Java模板引擎,它允许开发者在HTML、XML、Java源代码等静态文件中嵌入可执行的代码片段,从而实现动态生成内容。这个技术广泛应用于Web开发,尤其是在MVC(Model-View-...
Velocity Web应用开发
05-31
- **实现方式**:使用 Velocity 内置函数 `#escape` 或自定义函数进行转义。 ##### 3. 应用安全性 - **安全性措施**:确保 Velocity 模板的安全性,例如通过限制模板的执行权限、过滤用户输入等手段提高安全性。 #...
freemarker&velocity的使用
05-31
1. **引用和指令**:Velocity使用`${variable}`引用变量,而`#set`、`#if`、`#foreach`等指令实现控制结构。与Freemarker相比,Velocity的语法更加简洁。 2. **上下文对象**:在Velocity中,数据模型通常称为“上...
escape-velocity:一次亚轨道太空飞行回顾了Ruby on Rails和React.js应用程序
04-08
在“逃逸速度”的开发过程中,Rails和React.js的结合不仅提高了开发效率,也实现了前后端的解耦。Rails通过JSON API与React进行通信,使得前端可以独立更新,而不会影响后端。这种分离关注点的方式,使得团队可以...
技術分享_tcc-fc-view_Mail_and_Schedule1
08-08
- **Java批量邮件发送**:利用Apache Velocity模板引擎实现邮件内容的动态生成,提高了邮件发送的灵活性和效率。 - **负载均衡下的排程管理**:解决了在多服务器环境中如何有效地控制定时任务的问题,保证了系统的...
改造Velocity模板引擎让$[!]{}输出默认进行html转义,并增加$#{}语法支持不转义输出...
weixin_33910434的博客
11-04 888
为什么80%的码农都做不了架构师?>>> ...
Velocity 模板如何显示 $! , ${} 等特殊符号
chuncui2576的博客
06-29 2189
因为使用到了 Velocity 模板,有时候需要显示 $!{obj} 这样的内容。 其实也就是 在页面直接显示 $!{obj} , 而不是显示 obj 内容. //如果$foo未定义过 $foo 输出:$foo \$foo 输出:\$foo \\$foo 输出:\\$foo \\\$foo...
velocity转义小问题
Kevin.yang专栏
12-12 6621
问题描述velocity中设置如下,而$!{users}输出默认进行html转义,users为后端一个List对象 var USERS = '$!{users}';user对象如下: public class User{ private String name; private int age; private String department; public String getN
病毒会不会逃出虚拟机?
一个超会写Bug的程序猿的博客
03-10 2104
作者 / Serendipity 本文来自知乎日报 https://daily.zhihu.com/story/9733872 当然可以逃得出去,别小瞧了现代黑客的技术。 其实虚拟机的本质也是运行在操作系统上的一个应用软件而已,和你打开的 chrome、QQ、网易云音乐、LOL 等没有什么大的区别,只不过这个应用软件会独立的运行另外一个操作系统而已。 因此,虚拟机实际上也不是能够和真实主机完全隔离,来保证绝对安全的,在一部分情况下还是会影响到主机的安全性,例如软件漏洞逃逸和硬件逃逸等等。 在虚拟机安全中
velocity的html语义转换
weixin_34005042的博客
06-05 392
1、html语义转换(1)velocity1.5版本默认不转换html(2)velocity1.6、1.7版本默认转换html(3)虽然转换后的html能够防止xss,但是,有时页面就是需要不转换的数据,如json字符串,可以通过#noescape()$!{data}#end即可,注意webx中一般配置了velocity,但是spring mvc中没有配...
Velocity模板引擎下 velocity.properties转义(转码)配置
MichaelChansn的专栏
05-03 1930
转自http://blog.csdn.net/cuker919/article/details/8049450 velocity配置文件中的编码配置类: //对html文件编码的配置 org.apache.velocity.app.event.implement.EscapeHtmlReference //对JavaScript文件编码的配置 org.apache.velocit
Velocity模板技术学习笔记
h
07-20 442
基本语句语法可以查看https://www.ibm.com/developerworks/cn/java/j-lo-velocity1/HelloVelocity.javapublic class HelloVelocity { public static void main(String[] args) { //初始化并取得Velocity引擎 Velocit
Velocity应用
圣彼得堡之光的专栏
09-22 5400
在应用程序(Application)中使用Velocity Velocity被设计为一个通用的功具包,它也常用于一般的应用程序中. 如这篇指南开始所讨论的那样, 另外,这里还有一些对一般应用程序来说很有用的工具类:   1.The Velocity Helper Class     Velocity 提供一个 utility class ( org.apache.velo
Java模板引擎Velocity实现Web MVC分离与个性化页面
Velocity是一款强大的基于Java的模板引擎,它专注于简化Web开发过程中的视图层设计。该引擎允许开发者使用模板语言,通过模板引用由Java代码动态生成的对象,实现了MVC(Model-View-Controller)架构的高效协作。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值