17-关于layui模板引擎使用中出现的xss问题解决方案

已于 2024-10-29 17:48:29 修改
阅读量369 收藏 3
点赞数 2
文章标签: layui xss 前端
于 2024-10-29 17:43:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46675693/article/details/143335445
版权

前提条件:项目检测报告中提及项目页面展示存在有xss风险,需要处理,查看检测报告的测试位置,发现是在获取表格数据中,使用了laytpl模板引擎解析展示引起的,所以需要出方案解决

过程:

由于我之前了解了一些关于xss防护库的使用,我以为可以用同样的方式去解决这个问题,但是,由于项目上在很多位置都使用了laytpl,若是我采用这种方式,那将是个很大修改工程,所以这个方案不可行

然后我去翻查了layui的文档说明(模板引擎文档-Layui),发现,laytpl其实是有自己的方式去预防xss的,那就是使用{{= d.field }}的模板语法,但这依然是需要修改多处,因为项目上使用的都是普通输出语法{{ d.field }}

但是,我又在文档中发现,原始输出的语法在2.6.11开始就会默认转义,结果原项目使用的版本是2.6.8,所以,升级版本不失为一种方案,这样既不需要大批量改动,也能解决现有问题

2.7.6版本的layui.js直接在上述链接首页下载即可,最新版2.9.18的layui.js也可以用(可以直接在上诉链接中切换)

测试

<!DOCTYPE html>
<html>

<head>
    <title>laytpl测试</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <!-- <script src="../js/layui/layui2.6.8/layui.js"></script> -->
    <script src="../js/layui/layui-v2.7.6/layui/layui.js"></script>
    <!-- <script src="../js/layui/layui-v2.9.18/layui/layui.js"></script> -->
</head>

<body>
    <div id="view"></div>
    <script>
        layui.use('laytpl', function () {
            var laytpl = layui.laytpl;
            var data = { //数据
                "title": "Layui常用模块"
                , "list": [{ "modname": "弹层", "alias": "layer", "site": "<img src='1' onerror=alert(1)></img>" }, { "modname": "表单", "alias": "form" }]
            }
            var getTpl = demo.innerHTML
                , view = document.getElementById('view');
            laytpl(getTpl).render(data, function (html) {
                view.innerHTML = html;
            });
        })
    </script>
    <script id="demo" type="text/html">
        <h3>{{ d.title }}</h3>
        <ul>
        {{#  layui.each(d.list, function(index, item){ }}
          <li>
            <span>{{ item.modname }}</span>
            <span>{{ item.alias }}:</span>
            <span>{{ item.site || '' }}</span>
          </li>
        {{#  }); }}
        {{#  if(d.list.length === 0){ }}
          无数据
        {{#  } }} 
        </ul>
      </script>
    <script>

    </script>
</body>

</html>

看个人项目和使用版本情况,版本较低且使用laytpl少的话,可以直接修改为转义输出,多的快还是升级会方便一点,不过升级后最好也要测试一下是否对其他操作有影响

坚持就是胜利!

澪Lwh
关注
LayUI中的内置模块之 模板引擎文档
daimeijin的博客
08-14 1393
前言 最近在准备找工作的事项,但是作为一个后台也是需要了解一些前端框架的。就目前的来说有大火的VUE,但是VUE还是存在一定的学习成本,所以决定先从对后台友好的LayUI开始入手先做一些小项目练练手,后面会考虑使用VUE+ElementUI做一个大型一点的SAAS系统。查阅资料后得到如下文章,作为学习记录使用模板引擎文档 laytpl 是 JavScript 模板引擎,在字符解析上有着比较出色的表现,欠缺之处在于异常调试上。由于传统意义的前端模板引擎已经变得不再流行,所以 laytpl 后续可能会进行重
JFinal-layuiv1.4.2 来袭,XSS,CSRF防御,程序器
hdx柿子的博客
04-02 800
感谢参考原文-http://bjbsair.com/2020-04-01/tech-info/18436.html 前言 JFinal-layui 极速开发企业应用管理系统,是以 JFinal+layui 为核心的企业应用项目架构,利用 JFinal 的特性与 layui 完美结合,达到快速启动项目的目的。让开发更简单高效,即使你不会前端layui,也能轻松掌握使用。 JFinal-layui v...
layui - 模板引擎
weixin_42361858的博客
12-07 3131
模板:layui.use('laytpl', function(){ var laytpl = layui.laytpl; } 参考:https://www.layui.com/doc/modules/laytpl.html 模板语法: // 除函数外,模板以分隔符 {{# 开始,并以 }} 结束 // {{d.field }} 输出一个普通字段 不转义html (html仍有效),如: <div>{{d.content}}</div> // {{=...
layui模板引擎
WMY10001的博客
09-29 961
layui效果: html <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>laytpl前端模版引擎 - 在线演示 - Layui</title> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" .
LayUi模板引擎
李先生的技术博客
07-12 8599
这个模板引擎说的就是当我们在做项目的过程中,我们有的情况下会发现一个页面不够我们使用,需要跳转页面或者是更改本页面展示的内容,但是我们如果单纯的跳转的话,地址栏会发生改变,我们所需要的东西会展示出来,但是会打乱原始的项目构造,就比如左侧的菜单栏啊,置顶的导航条啊,这些东西在我们跳转页面的时候都会发生改变。 因为地址栏变了,所以原始的东西就会被打乱,这个时候我们可以菜单栏啊,导航条啊给拉到我们页面...
模板引擎文档 - layui.laytpl 例子
LYBWWP
09-15 1068
<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, mini...
Layui数据导出高级案例分析:专家解析常见问题解决方案
[Layui数据导出高级案例分析:专家解析常见问题解决方案](https://opengraph.githubassets.com/1e7aab70741c13e2105ee6a2484f671670e4646bc6bb0af9d77e8adb78363cd8/maoyuan121/layui-table-data) # 摘要 Layui...
ThinkPHP5+layui框架后台管理系统.zip
08-04
总结来说,"ThinkPHP5+layui框架后台管理系统"是一个集成了强大后端处理能力和美观前端展示的解决方案,它充分利用了ThinkPHP5的灵活性和layui的易用性,为开发者提供了一个高效开发后台系统的工具。通过深入理解和...
Layui表单动态生成与验证:问题分析与专家级解决流程
[Layui表单动态生成与验证:问题分析与专家级解决流程](https://opengraph.githubassets.com/5971b7b490162fb6878bebc09424ef5a21edcb7b2f4a742e8d4ea142b17324e5/hnzzmsf/layui-formSelects) # 摘要 本文全面探讨...
cmlphp+layui通用后台管理系统
03-28
通过对“cmlphp+layui通用后台管理系统”的了解,我们可以看到PHP和Layui的强强联合,为企业提供了灵活、高效的后台管理解决方案。无论是在中小型企业还是大型组织,这样的系统都能够满足日常运营的需求,降低运维...
layer模板引擎使用
11-28
layer模板引擎使用,带有详细注释,简单易上手,可用来入门,配合layer官网使用,效果更好
浅谈layui使用模板引擎动态渲染元素要注意的问题
10-16
今天小编就为大家分享一篇浅谈layui使用模板引擎动态渲染元素要注意的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
使用ThinkPHP5和Layui2开发的轻量级PHP CMS系统vaeThink
8. **模板引擎的改进**:提供了更为灵活和强大的模板标签和模板引擎功能。 9. **安全特性加强**:默认加强了安全防护机制,提供了输入数据过滤、XSS过滤、SQL注入防护等安全特性。 ### Layui2前端UI框架 Layui2是...
//layui模板引擎和分页组合用
爪爪小白
05-10 1704
//layui模板引擎和分页组合用 body class="gray-bg"> script type="text/html" id="demo"> #[[{{#  layui.each(d.list, function(index, item){ }}
layui源码详细分析系列之模板引擎
玉案轩窗的博客
08-08 6895
前言所谓的模板引擎,其实最早接触该形式的应该是jsp,在html代码中嵌套java代码,使用形式与模板很相似,实际上jsp就是一种模板语言,对于模板语言我的了解并不多,此处就不再详细的描述了。当我看见layui内置的模板引擎模块laytpl.js时,我首先想起的是Vue中{{}}模板的使用,但是Vue中还有双向绑定的概念(你可已使用get/set方法来实现),laytpl.js中提供的模板类型有两种
layui 模板引擎与流加载一起使用
最新发布
Mr_LiMing7758的博客
09-13 284
【代码】layui 模板引擎与流加载一起使用
XSS 攻击
冷静
05-28 1440
作为一个合格的 Web 开发工程师,必须遵循一个安全原则: 永远不要信任用户提交的数据。 XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。 一种比较常见的 XSS 攻击是 Cookie 窃取...
LayUI模板引擎渲染数据
个人学习笔记库,一篇一篇记录成长的足迹
02-11 3695
LayUI模板渲染数据,非常详细!
基于StringBoot2.2+Layui轻量级的权限管理系统,彻底杜绝XSS攻击
Java码农那些事
08-19 674
项目介绍 基于StringBoot2.2+Layui+Mybatis+Mybatis-Plus开发的一套轻量级的权限管理系统,开箱即用。 提供了代码生成器,可快速完成开发任务 完善的XSS防范及脚本过滤,彻底杜绝XSS攻击 支持MySQL、Oracle、SQL Server等主流数据库 技术选型 核心框架:Spring Boot 2.2.5 安全框架:Spring Security 5.2.2 视图框架:Spring MVC 5.2.4 持久层框架:MyBatis 2.1.2 MyBatis
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值