SpringBlade Xss 防注入放行配置教程

业余杂谈 herman 155浏览
公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:codedq,发送下载链接帮助你免费下载!
本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:codedq,之前的微信号好友位已满,备注:返现
饿了么大量招人,我内推!Java 方向!薪资不设上限,工作年龄不限!工作地点限魔都,可电话面试!简历,发我微信:codedq
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
视频教程免费领

有一种直觉,感觉 SpringBlade 会火,因为最近不少人问我这方面的问题。

bladex 默认实现了 Xss 防注入功能,但是在某些时候,我们需要对某些请求放行,改如何做呢?

针对这种情况,SpringBlade 提供了可配置放行方案,具体配置如下:

blade:
  xss:
    url:
      exclude-patterns:
        - /wecaht
        - /xttblog
        - /test

这些情况可以解决需要使用 XML 的场景,比如微信 API,返回的是 xml 类型,带有 <> 标记,会被 xss 拦截过滤。

再比如,某些喜欢使用 & 符号的地方,都会被 xss 过滤。

需要注意的是,如果是 SpringBlade 的商业版新版本,则需要进行如下配置:

blade:
  xss:
    skip-url:
      - /wecaht
      - /xttblog
      - /test

如果针对放行的链接有特殊的需求,也可以使用 Hutool 的工具类来自己转义。

HtmlUtil.escape

转义HTML特殊字符,包括:

  1. ' 替换为 '
  2. " 替换为 &quot;
  3. & 替换为 &amp;
  4. < 替换为 &lt;
  5. > 替换为 &gt;
String html = "<html><body>123'123'</body></html>";
// 结果为:<html><body>123'123'</body></html>
String escape = HtmlUtil.escape(html);

HtmlUtil.unescape

还原被转义的HTML特殊字符

String escape = "<html><body>123'123'</body></html>";
// 结果为:<html><body>123'123'</body></html>
String unescape = HtmlUtil.unescape(escape);

HtmlUtil.removeHtmlTag

清除指定HTML标签和被标签包围的内容

String str = "pre<img src=\"xxx/dfdsfds/test.jpg\">";
// 结果为:pre
String result = HtmlUtil.removeHtmlTag(str, "img");

更多相关的 API 的用法,我就不一一列举了,大家以官方文档为标准,只需要注意 API 的相关版本即可!

业余草公众号

最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号1:xmtxtt(5000人已满),微信号2:xttblog(5000人已满),微信号3:codedq(超3800)。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!

本文原文出处:业余草: » SpringBlade Xss 防注入放行配置教程