freemarker默认escape html 防范xss
博客专区 > greki 的博客 > 博客详情
freemarker默认escape html 防范xss
greki 发表于6年前
freemarker默认escape html 防范xss
  • 发表于 6年前
  • 阅读 11019
  • 收藏 6
  • 点赞 0
  • 评论 0

【腾讯云】新注册用户域名抢购1元起>>>   

freemarker 有html escape 方法,但是框架没有地方可以配置默认escape

1.<#escape>指令

2.<xxx?html>内建函数

方法一、

网上比较多的是通过TemplateLoader,给加载的template文件2头套<#escape>

<#escape x as x?html>
your template code
</#escape>

参考: http://techdiary.peterbecker.de/2009/02/defending-against-xss-attacks-in.html

但是现在我们应用的对freemarker做了扩展,一个页面分3个部分,一个layout、一个view、多个control。

多次render才到最终结果。要控制比较麻烦配置,也不友好。

方法二

改源码的$变量、默认全部转义、对固定的扩展的layout、一个view、多个control,配置正则原义输出。

变量是string类型的时候,用了xxx?string作为原义输出的内建函数。

缺点:比较暴力,修改了DollarViable源码,后续freemarker有升级要跟随修改

/**
         * The original code
         * env.getOut().write(escapedExpression.getStringValue(env));
         */
        String expr = escapedExpression.getCanonicalForm();
        TemplateModel referentModel =  escapedExpression.getAsTemplateModel(env);
        String output = Expression.getStringValue(referentModel, escapedExpression, env);
        
        if (referentModel instanceof TemplateScalarModel) {
            // layout placeholder and widget no escape and ?string
            if (expr.indexOf("!noescape") > -1 || expr.indexOf("?html") > -1 || expr.indexOf("parameters.") > -1
                    || expr.endsWith("?string") || doNoEscape(expr, env)) {
                env.getOut().write(output);
            } else {
                env.getOut().write(freemarker.template.utility.StringUtil.HTMLEnc(output));
            }
        }else{
            env.getOut().write(output);
        }

 

<!-- 设置 ViewResolver -->
       <bean id="freemarkerConfiguration"
              class="org.springframework.ui.freemarker.FreeMarkerConfigurationFactoryBean">
              <property name="templateLoaderPath"
                     value="file://${xxxxxx.template.templatePath}" />
              <property name="freemarkerSettings">
                     <props>
                            <prop key="default_encoding">UTF-8</prop>
                            <prop key="number_format">#</prop>
                            <!-- 配置缓存时间 -->
                            <prop key="template_update_delay">${xxxxxxx.template.update.delay}</prop>
                            <prop key="classic_compatible">true</prop>
                            <prop key="auto_import">/macro/macros.ftl as spring</prop>
                            <prop key="url_escaping_charset">UTF-8</prop>
                            <prop key="defaultEncoding">UTF-8</prop>
                            <prop key="boolean_format">true,false</prop>
                            <prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
                            <prop key="date_format">yyyy-MM-dd</prop>
                            <prop key="locale">zh_CN</prop>
                     </props>
              </property>
              <property name="freemarkerVariables">
            <map>
                <entry key="noescape_patterns" value-ref="noescape_patterns"/>
            </map>
        </property>
       </bean>
       <!-- 不进行转义正则 -->
       <util:list id="noescape_patterns" list-class="java.util.ArrayList">
              <bean class="java.util.regex.Pattern">
                     <constructor-arg value="(^placeholder$)|(^widget)|(^token\(\)$)" />         
          <constructor-arg value="0"/> 
              </bean>
       </util:list>

 

标签: freemarker escape xss
  • 打赏
  • 点赞
  • 收藏
  • 分享
共有 人打赏支持
粉丝 93
博文 108
码字总数 44562
×
greki
如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
* 金额(元)
¥1 ¥5 ¥10 ¥20 其他金额
打赏人
留言
* 支付类型
微信扫码支付
打赏金额:
已支付成功
打赏金额: