文档章节

freemarker默认escape html 防范xss

greki
 greki
发布于 2012/10/15 19:00
字数 407
阅读 11441
收藏 6

freemarker 有html escape 方法,但是框架没有地方可以配置默认escape

1.<#escape>指令

2.<xxx?html>内建函数

方法一、

网上比较多的是通过TemplateLoader,给加载的template文件2头套<#escape>

<#escape x as x?html>
your template code
</#escape>

参考: http://techdiary.peterbecker.de/2009/02/defending-against-xss-attacks-in.html

但是现在我们应用的对freemarker做了扩展,一个页面分3个部分,一个layout、一个view、多个control。

多次render才到最终结果。要控制比较麻烦配置,也不友好。

方法二

改源码的$变量、默认全部转义、对固定的扩展的layout、一个view、多个control,配置正则原义输出。

变量是string类型的时候,用了xxx?string作为原义输出的内建函数。

缺点:比较暴力,修改了DollarViable源码,后续freemarker有升级要跟随修改

/**
         * The original code
         * env.getOut().write(escapedExpression.getStringValue(env));
         */
        String expr = escapedExpression.getCanonicalForm();
        TemplateModel referentModel =  escapedExpression.getAsTemplateModel(env);
        String output = Expression.getStringValue(referentModel, escapedExpression, env);
        
        if (referentModel instanceof TemplateScalarModel) {
            // layout placeholder and widget no escape and ?string
            if (expr.indexOf("!noescape") > -1 || expr.indexOf("?html") > -1 || expr.indexOf("parameters.") > -1
                    || expr.endsWith("?string") || doNoEscape(expr, env)) {
                env.getOut().write(output);
            } else {
                env.getOut().write(freemarker.template.utility.StringUtil.HTMLEnc(output));
            }
        }else{
            env.getOut().write(output);
        }

 

<!-- 设置 ViewResolver -->
       <bean id="freemarkerConfiguration"
              class="org.springframework.ui.freemarker.FreeMarkerConfigurationFactoryBean">
              <property name="templateLoaderPath"
                     value="file://${xxxxxx.template.templatePath}" />
              <property name="freemarkerSettings">
                     <props>
                            <prop key="default_encoding">UTF-8</prop>
                            <prop key="number_format">#</prop>
                            <!-- 配置缓存时间 -->
                            <prop key="template_update_delay">${xxxxxxx.template.update.delay}</prop>
                            <prop key="classic_compatible">true</prop>
                            <prop key="auto_import">/macro/macros.ftl as spring</prop>
                            <prop key="url_escaping_charset">UTF-8</prop>
                            <prop key="defaultEncoding">UTF-8</prop>
                            <prop key="boolean_format">true,false</prop>
                            <prop key="datetime_format">yyyy-MM-dd HH:mm:ss</prop>
                            <prop key="date_format">yyyy-MM-dd</prop>
                            <prop key="locale">zh_CN</prop>
                     </props>
              </property>
              <property name="freemarkerVariables">
            <map>
                <entry key="noescape_patterns" value-ref="noescape_patterns"/>
            </map>
        </property>
       </bean>
       <!-- 不进行转义正则 -->
       <util:list id="noescape_patterns" list-class="java.util.ArrayList">
              <bean class="java.util.regex.Pattern">
                     <constructor-arg value="(^placeholder$)|(^widget)|(^token\(\)$)" />         
          <constructor-arg value="0"/> 
              </bean>
       </util:list>

 

© 著作权归作者所有

共有 人打赏支持
greki
粉丝 98
博文 109
码字总数 45236
作品 0
杭州
技术主管
Spring Boot 最佳实践(三)模板引擎FreeMarker集成

一、FreeMaker介绍 FreeMarker是一款免费的Java模板引擎,是一种基于模板和数据生成文本(HMLT、电子邮件、配置文件、源代码等)的工具,它不是面向最终用户的,而是一款程序员使用的组件。 ...

王磊
08/31
0
0
Eclipse安装Freemarker Editor插件

Eclipse安装Freemarker Editor插件 在下面网址里下载freemarker-ide: http://sourceforge.net/projects/freemarker-ide/files/ http://sourceforge.net/projects/freemarker-ide/files/ 下载......

风中帆
2015/02/10
0
1
freemaker开发学习《一》

 FreeMarker是一个非常优秀的模板引擎,这个模板引擎可用于任何场景,FreeMarker负责将数据模型中的数据合并到模板中,从而生成标准输出.FreeMarker可以提供昜好的团队协作,对于界面开发人...

xiaml
2014/04/25
0
0
FreeMarker 语法教程

FreeMarker的模板文件并不比HTML页面复杂多少,FreeMarker模板文件主要由如下4个部分组成: 1,文本:直接输出的部分 2,注释:<#-- ... -->格式部分,不会输出 3,插值:即${...}或#{...}格式的部分,...

翊骷
2014/08/11
0
1
FreeMarker配置(Configuration)

基础 Configuration 是一个存放应用级别(application level)公共配置信息,以及模版(Template)可使用的全局共享变量的一个对象。同时它还负责模版(Template)实例的创建以及缓存。Confi...

空心大白菜
2013/11/12
0
3

没有更多内容

加载失败,请刷新页面

加载更多

初级开发-编程题

` public static void main(String[] args) { System.out.println(changeStrToUpperCase("user_name_abc")); System.out.println(changeStrToLowerCase(changeStrToUpperCase("user_name_abc......

小池仔
今天
6
0
现场看路演了!

HiBlock
昨天
16
0
Rabbit MQ基本概念介绍

RabbitMQ介绍 • RabbitMQ是一个消息中间件,是一个很好用的消息队列框架。 • ConnectionFactory、Connection、Channel都是RabbitMQ对外提供的API中最基本的对象。Connection是RabbitMQ的s...

寰宇01
昨天
9
0
官方精简版Windows10:微软自己都看不过去了

微软宣布,该公司正在寻求解决方案,以减轻企业客户的Windows 10规模。该公司声称,企业客户下载整个Windows 10文件以更新设备既费钱又费时。 微软宣布,该公司正在寻求解决方案,以减轻企业...

linux-tao
昨天
19
0
TypeScript基础入门之JSX(二)

转发 TypeScript基础入门之JSX(二) 属性类型检查 键入检查属性的第一步是确定元素属性类型。 内在元素和基于价值的元素之间略有不同。 对于内部元素,它是JSX.IntrinsicElements上的属性类型...

durban
昨天
12
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部