freemarker默认escape html 防范xss

最新推荐文章于 2022-04-28 16:43:34 发布
最新推荐文章于 2022-04-28 16:43:34 发布
阅读量697 收藏
点赞数
文章标签: java ui
原文链接:https://my.oschina.net/greki/blog/83246
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

freemarker 有html escape 方法,但是框架没有地方可以配置默认escape

1.<#escape>指令

2.<xxx?html>内建函数

方法一、

网上比较多的是通过TemplateLoader,给加载的template文件2头套<#escape>

<#escape x as x?html>
your template code
</#escape>

参考: http://techdiary.peterbecker.de/2009/02/defending-against-xss-attacks-in.html

但是现在我们应用的对freemarker做了扩展,一个页面分3个部分,一个layout、一个view、多个control。

多次render才到最终结果。要控制比较麻烦配置,也不友好。

方法二

改源码的$变量、默认全部转义、对固定的扩展的layout、一个view、多个control,配置正则原义输出。

变量是string类型的时候,用了xxx?string作为原义输出的内建函数。

缺点:比较暴力,修改了DollarViable源码,后续freemarker有升级要跟随修改

/**
         * The original code
         * env.getOut().write(escapedExpression.getStringValue(env));
         */
        String expr = escapedExpression.getCanonicalForm();
        TemplateModel referentModel =  escapedExpression.getAsTemplateModel(env);
        String output = Expression.getStringValue(referentModel, escapedExpression, env);
        
        if (referentModel instanceof TemplateScalarModel) {
            // layout placeholder and widget no escape and ?string
            if (expr.indexOf("!noescape") > -1 || expr.indexOf("?html") > -1 || expr.indexOf("parameters.") > -1
                    || expr.endsWith("?string") || doNoEscape(expr, env)) {
                env.getOut().write(output);
            } else {
                env.getOut().write(freemarker.template.utility.StringUtil.HTMLEnc(output));
            }
        }else{
            env.getOut().write(output);
        }

 

<!-- 设置 ViewResolver -->
       <bean id="freemarkerConfiguration"
              class="org.springframework.ui.freemarker.FreeMarkerConfigurationFactoryBean">
              <property name="templateLoaderPath"
                     value="file://${xxxxxx.template.templatePath}" />
              <property name="freemarkerSettings">
                     <props>
                            <prop key="default_encoding">UTF-8</prop>
                            <prop key="number_format">#</prop>
                            <!-- 配置缓存时间 -->
                            <prop key="template_update_delay">${xxxxxxx.template.update.delay}</prop>
                            <prop key="classic_compatible">true</prop>
                            <prop key="auto_import">/macro/macros.ftl as spring</prop>
                            <prop key="url_escaping_charset">UTF-8</prop>
                            <prop key="defaultEncoding">UTF-8</prop>
                            <prop key="boolean_format">true,false</prop>
                            <prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
                            <prop key="date_format">yyyy-MM-dd</prop>
                            <prop key="locale">zh_CN</prop>
                     </props>
              </property>
              <property name="freemarkerVariables">
            <map>
                <entry key="noescape_patterns" value-ref="noescape_patterns"/>
            </map>
        </property>
       </bean>
       <!-- 不进行转义正则 -->
       <util:list id="noescape_patterns" list-class="java.util.ArrayList">
              <bean class="java.util.regex.Pattern">
                     <constructor-arg value="(^placeholder$)|(^widget)|(^token\(\)$)" />         
          <constructor-arg value="0"/> 
              </bean>
       </util:list>

 

转载于:https://my.oschina.net/greki/blog/83246

weixin_33757911
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA集成Freemarker生成静态html过程解析
08-19
主要介绍了JAVA集成Freemarker生成静态html过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
第五篇:白话tornado源码之褪去模板的外衣
weixin_33939380的博客
07-05 84
上一篇《白话tornado源码之请求来了》介绍了客户端请求在tornado框架中的生命周期,其本质就是利用epoll和socket来获取并处理请求。在上一篇的内容中,我们只是给客户端返回了简单的字符串,如:“Hello World”,而在实际开发中,需要使用html文件的内容作为模板,然后将被处理后的数据(计算或数据库中的数据)嵌套在模板中,然后将嵌套了数据的html文件的内容返回给请求者客户端,...
html 模板语言 实现,django-html模板(模板的执行、模板语言、自定义simple_tag)
weixin_33520510的博客
06-03 174
模板1、模版的执行模版的创建过程,对于模版,其实就是读取模版(其中嵌套着模版标签),然后将 Model 中获取的数据插入到模版中,最后将信息返回给用户。def current_datetime(request):now = datetime.datetime.now()html = "It is now %s." % nowreturn HttpResponse(html)from django ...
freemarker 输出html
网事蒙尘
03-02 1万+
字符串插入指南:不要忘了转义! 如果插值在文本区(也就是说,不再字符串表达式中),如果escapse指令起作用了,即将被插入的字符串会被自动转义。如果你要生成HTML,那么强烈建议你利用它来阻止跨站脚本攻击和非格式良好的HTML页面。这里有一个示例: ... Title: ${book.title} Description: ${book.description} Comments:
FreeMarker的常用指令(二)
weixin_34198797的博客
12-02 148
上期lola给大家介绍了FreeMarker的常用指令(一)这期继续为大家分享FreeMarker的常用指令(二)。 6、noparse指令noparse指令指定FreeMarker不处理该指定里包含的内容,该指令的语法格式如下:<#noparse>...</#noparse>看如下的例子:<#noparse><#list book...
Java springmvc+freemarker生成HTML模板页
weixin_34148340的博客
04-13 455
2019独角兽企业重金招聘Python工程师标准>>> ...
freemarker常用标签
ouyang990的博客
06-06 837
1,assgin标签 2,if标签 3,为空,或者默认值的处理 建议: 1,对一些符号,字符串中所有的特殊 HTML 字符都需要用实体引用来代替 2, 主要内容: 1,assgin 是自定义变量,可以对变量进行自定义处理,如: #assign name=value> or #assign name1=value1 name2=value2 ... nameN=valueN> or
freemarker语法完整版
陈华江(HuaChiang Chen) 陈泉冰专栏
08-04 4535
freemarker语法完整版
Freemarker常用基本命令
java_leejin的博客
07-27 3315
freemarker包括下面几个基本命令 if,else,elseif指令 switch,case,default,break指令 list,break指令 include指令 import 指令 noparse指令 compress指令 escape,noescape指令 assign 指令 global 指令 local 指令 setting 指令 用户自定义指令(<@...>) ...
FreeMarker语法知识
iteye_14672的博客
03-10 766
FreeMarker的模板文件并不比HTML页面复杂多少,FreeMarker模板文件主要由如下4个部分组成:1,文本:直接输出的部分2,注释:&lt;#-- ... --&gt;格式部分,不会输出3,插值:即${...}或#{...}格式的部分,将使用数据模型中的部分替代输出4,FTL指令:FreeMarker指定,和HTML标记类似,名字前加#予以区分,不会输出 下面是一个FreeMarker...
freemarker常见语法大全
热门推荐
幻云爱你
07-18 2万+
FTL指令常用标签及语法 注意:使用freemaker,要求所有标签必须闭合,否则会导致freemaker无法解析。 freemaker注释:&lt;#– 注释内容 –&gt;格式部分,不会输出 ———————————- 基础语法 ———————————- 1、字符输出 ${emp.name?if_exists}       // 变量存在,输出该变量,否则不输出 ${em...
FreeMarker使用手册_html_freemarker_
10-02
FreeMarker 是一款 模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。 它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所...
freemarker生成静态html示例
02-28
这是一个eclipse下创建的一个project,里面有一个freemarker生成html及一些语法示例
freemarker基础v1.1.pdf
最新发布
07-31
freemarker是一个用Java开发的模板引擎,freemarker并不关心数据的来源,只是根据模板的内容,将数据模型在模板中显示并输出文件(通常为html,也可以生成其它格式的文本文件)
word文档生成html模板(freemarker)再转为pdf示例代码
04-12
1、Word模板转html模板的操作步骤(图示例+操作描述,13张图); 2、由上述生成的html模板通过java代码生成pdf; 3、示例有本地模板和远程模板之分,可杜绝pdf标题丢失的问题; 4、资源概要:先阅读README.md文档,然后...
StringUtils.htmlEncode()--html标签过滤方法实现
weixin_30797027的博客
07-06 277
package org.guyezhai.utils; import java.text.CharacterIterator; import java.text.StringCharacterIterator; public class StringUtils { public static String htmlEncode(String aText){ fin...
XSS漏洞攻守之道
坏蛋呆呆的博客
04-28 2415
1.1 什么是XSS漏洞 跨站脚本攻击(Cross Site Script,为了不和css混淆,故将其缩写为XSS)通常发生在客户端,攻击者在Web页面中插入恶意的JavaScript代码(包括VBScript和ActionScript代码等),用户浏览此页面时,会执行这些恶意代码,从而使用户受到攻击。本质:是一种HTML的注入,恶意代码数据当成了HTML代码的一部分被执行。 1.2 XSS的攻击形式 DOM跨站攻击:攻击者在为规范JavaScript的HTML页面中插...
Freemarker中如何避免xss漏洞
he_qiao_2010的专栏
06-20 3137
什么是XSS漏洞 试想一下,如果我们开发一个订单系统,订单名称如果没有做限制,允许用户输入任意字符,那么就有产生XSS的危险。攻击者可以很容易编写一个恶意JS脚本,然后将当前登录用户的cookie或者其他敏感信息抓取到,发送给攻击者自己,这就是XSS(跨站脚本)攻击。如何解决这个问题,首先我们想到的是在用户输入订单的时候,我们对订单名称做限制,不允许输入特殊字符。这样是可以避免的,不过对于一个大的...
java html转义_FreeMarker模板输出转义html
weixin_33608403的博客
02-12 732
FreeMarker作为"通用"模版引擎, 默认情况下不会对model中的值进行html转义, 然而在web项目中, 为了防止跨站脚本攻击等问题, 必须在对model中的值进行转义.解决办法:方法1.是使用 ${x?html} 可以用于对单个值的转义方法2.使用 ... #escape> 将需要转义的html代码包起来, 这样其中所有的值都会被转义了.毫无疑问这两个方法都需要大量的重复操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值