很多时候,我们为了安全,会对存储的信息,进行转义,过滤等处理,这样带来的坏处是,破坏原始的数据,而且转义会占用多余的空间.
本人使用JFinal框架,开始考虑过全局设置过滤器,有的不需要的也会转义,不是很友好~
首先,自定义一个格式化类XSSDefenseFormat.java
import org.apache.commons.lang.StringEscapeUtils;
import org.beetl.core.Format;
public class XSSDefenseFormat implements Format {
@Override
public Object format(Object data, String pattern) {
if (null == data) {
return null;
} else {
return StringEscapeUtils.escapeHtml((String) data);
}
}
}
然后注册该格式化
groupTemplate.registerFormat("xss", new XSSDefenseFormat());
最后针对需要的地方,进行xss处理
${a.name, xss}
使用结果不再弹出alert提示
可以根据自己实际需求,自定义一些其他方法.
原文:http://my.oschina.net/smile622/blog/300137