V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wysnylc
V2EX  ›  问与答

Spring 的 XSS 过滤(富文本以及 JSON 还有正常输入)

  •  
  •   wysnylc · 2016-07-25 14:32:15 +08:00 · 2665 次点击
    这是一个创建于 3052 天前的主题,其中的信息可能已经有所发展或是发生改变。

    1 、百度谷歌都没有比较详细的资料
    2 、有一个想法是对输出过滤,但是发现只有 js 的过滤没有后端统一配置的过滤,是我搜索有问题?
    3 、求大神指点蟹蟹,爱你们

    5 条回复    2016-07-25 16:58:40 +08:00
    wysnylc
        1
    wysnylc  
    OP
       2016-07-25 14:41:59 +08:00
    为什么是在问与答,我明明放在技术上的 QAQ
    xuhaoyangx
        2
    xuhaoyangx  
       2016-07-25 14:50:36 +08:00
    xss 你可以搞一个拦截器里面统一对提交进行处理但是效率往往不高。我的做法就是那里需要提交,哪些需要限制,就那里做。我记得但是我是用 StringEscapeUtils 搞的。你也可以用哪些注解工具做限制了
    wysnylc
        3
    wysnylc  
    OP
       2016-07-25 14:59:29 +08:00
    @xuhaoyangx StringEscapeUtils 会将所有的输入转义是吗,富文本怎么处理呢?
    我现在做的一个拦截器,效率低而且容易报异常,没有比较完善的资料处理唉
    wysnylc
        4
    wysnylc  
    OP
       2016-07-25 15:01:10 +08:00
    @xuhaoyangx http://newleague.iteye.com/blog/1112673 这是之前查资料看到的。
    头像已撸
    xuhaoyangx
        5
    xuhaoyangx  
       2016-07-25 16:58:40 +08:00
    @wysnylc html 标签白名单,可以参考 php 的 htmlpurifier
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3272 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 12:46 · PVG 20:46 · LAX 04:46 · JFK 07:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.