Spring 的 XSS 过滤(富文本以及 JSON 还有正常输入)

2016-07-25 14:32:15 +08:00
 wysnylc

1 、百度谷歌都没有比较详细的资料
2 、有一个想法是对输出过滤,但是发现只有 js 的过滤没有后端统一配置的过滤,是我搜索有问题?
3 、求大神指点蟹蟹,爱你们

2629 次点击
所在节点    问与答
5 条回复
wysnylc
2016-07-25 14:41:59 +08:00
为什么是在问与答,我明明放在技术上的 QAQ
xuhaoyangx
2016-07-25 14:50:36 +08:00
xss 你可以搞一个拦截器里面统一对提交进行处理但是效率往往不高。我的做法就是那里需要提交,哪些需要限制,就那里做。我记得但是我是用 StringEscapeUtils 搞的。你也可以用哪些注解工具做限制了
wysnylc
2016-07-25 14:59:29 +08:00
@xuhaoyangx StringEscapeUtils 会将所有的输入转义是吗,富文本怎么处理呢?
我现在做的一个拦截器,效率低而且容易报异常,没有比较完善的资料处理唉
wysnylc
2016-07-25 15:01:10 +08:00
@xuhaoyangx http://newleague.iteye.com/blog/1112673 这是之前查资料看到的。
头像已撸
xuhaoyangx
2016-07-25 16:58:40 +08:00
@wysnylc html 标签白名单,可以参考 php 的 htmlpurifier

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/294765

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX