freemarker默认escape html 防范xss-白红宇

freemarker默认escape html 防范xss

阅读量：5972 次

发布时间：2019-06-19

本文共 2422 字，大约阅读时间需要 8 分钟。

freemarker 有html escape 方法，但是框架没有地方可以配置默认escape

1.<#escape>指令

2.<xxx?html>内建函数

方法一、

网上比较多的是通过TemplateLoader，给加载的template文件2头套<#escape>

<#escape x as x?html>your template code

参考：

但是现在我们应用的对freemarker做了扩展，一个页面分3个部分，一个layout、一个view、多个control。

多次render才到最终结果。要控制比较麻烦配置，也不友好。

方法二

改源码的$变量、默认全部转义、对固定的扩展的layout、一个view、多个control，配置正则原义输出。

变量是string类型的时候，用了xxx?string作为原义输出的内建函数。

缺点：比较暴力，修改了DollarViable源码，后续freemarker有升级要跟随修改

/**         * The original code         * env.getOut().write(escapedExpression.getStringValue(env));         */        String expr = escapedExpression.getCanonicalForm();        TemplateModel referentModel =  escapedExpression.getAsTemplateModel(env);        String output = Expression.getStringValue(referentModel, escapedExpression, env);                if (referentModel instanceof TemplateScalarModel) {            // layout placeholder and widget no escape and ?string            if (expr.indexOf("!noescape") > -1 || expr.indexOf("?html") > -1 || expr.indexOf("parameters.") > -1                    || expr.endsWith("?string") || doNoEscape(expr, env)) {                env.getOut().write(output);            } else {                env.getOut().write(freemarker.template.utility.StringUtil.HTMLEnc(output));            }        }else{            env.getOut().write(output);        }


           
                  
                   
                          
                                  
       
        UTF-8
                                   
       
        #
                                   
                                   
       
        ${xxxxxxx.template.update.delay}
                                   
       
        true
                                   
       
        /macro/macros.ftl as spring
                                   
       
        UTF-8
                                   
       
        UTF-8
                                   
       
        true,false
                                   
       
        yyyy-MM-dd HH:mm:ss
                                   
       
        yyyy-MM-dd
                                   
       
        zh_CN