若依-富文本编辑器特殊字符串被过滤的解决办法

已于 2022-09-09 09:49:30 修改
阅读量2.6k 收藏 4
点赞数 4
分类专栏: 日常学习 文章标签: java spring boot 开发语言
于 2022-09-09 09:40:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hdy14/article/details/126776680
版权

使用若依框架的时候,遇到了这个问题,原因是没有在配置文件里配置防止过滤的东西。

若依默认所有的都会过滤脚本,可以在application.yml配置xss.excludes属性排除URL

# 防止XSS攻击
xss: 
  # 过滤开关
  enabled: true
  # 排除链接(多个用逗号分隔)
  excludes: /system/notice/*

这个application.yml文件,可能在你的idea代码里,也可能在你的nacos里gateway的微服务里,我的是后者
排除链接是你的接口路径url (我写的全路径),亲测有效,如下配置
在这里插入图片描述
附:网上很多文章都写的很模糊,没有写具体在哪里配置,也没有写过滤路径是后端接口路径还是前端文件路径,所以尝试摸索了很多次才成功,所以总结一下吧,希望可以给到大家帮助。

解决若依微服务特殊字符串过滤问题的Java方案
CodeWWWCode的博客
09-17 487
通过使用转义字符、HTML实体编码或者自定义字符替换,我们可以解决若依微服务中特殊字符串过滤的问题。Java提供了一些转义字符的表示方式,比如反斜杠(\)表示转义字符的开始,后面紧跟着特殊字符的表示。如果若依微服务中的特殊字符过滤规则比较特殊,无法简单地通过转义字符或者HTML实体编码解决,我们可以尝试自定义字符替换的方法。通过自定义字符替换规则,我们可以将特殊字符替换为其他字符或者字符串,从而避免被过滤的问题。通过使用HTML实体编码,特殊字符被正确地转换为实体表示形式,从而避免了被过滤的问题。
若依微服务特殊字符串过滤解决办法
猿小白的博客
06-23 1344
在使用若依微服务过程,有的会发现使用富文本上传的时候,后端接受到的文本值中的html标签都被过滤掉了,这是因为,框架默认所有的都会过滤脚本,可以在ruoyi-gateway-dev.yml配置xss.excludeUrls属性排除URL。...
使用若依后台,过滤特殊字符问题
一株木樨的博客
10-08 883
使用若依后台,过滤特殊字符问题
富文本编辑器CKEDITOR粘贴WORD文档时,如何处理特殊字符?
2501_90694782的博客
03-10 559
要求:开源,免费,技术支持编辑器:ckeditor前端:vue2,vue3.vue-cli后端:asp,java,jsp,springboot,php,asp.net,.net core功能:导入Word,导入Excel,导入PPT(PowerPoint),导入PDF,复制粘贴word,导入微信公众号内容,web截屏平台:Windows,macOS,Linux,RedHat,Ubuntu,CentOS,中标麒麟,银河麒麟,统信UOS,信创国产化操作系统。
过滤特殊字符
各研发管理
12-11 120
最近写的一个过滤特殊字符的方法 [java] view plaincopyprint? //过滤特殊字符 publicStringStringFilter(Stringstr)throwsPatternSyntaxException{ //只允许字母和数字 //StringregEx="[^a-zA-Z0-9]"; //清除掉所有特殊字符 StringregEx=...
若依微服务项目11 - 特殊字符串过滤解决办法
全栈技术分享,项目分享,资料分享
07-26 272
默认所有的都会过滤脚本,可以在。
若依富文本 html样式 被过滤问题
w710537643的博客
08-30 1593
话说回来,在实际生产环境中,恶意代码存储到数据库中的后果是什么呢,下次有用户进入该网站,服务器返回给前台大量数据的同时,恶意代码也被返回并执行,那最终导致用户的Cookie等个人信息被泄露。所以,如果后端不进行任何过滤处理显然是不安全的。进入页面,富文本编辑框里回显这条新闻内容,如下图, 然后可以在富文本编辑框里对它实现再编辑,编辑之后将html代码提交保存到后台数据库。出现问题:在提交到后台controller时, 莫名被过滤了很多东西, 包括CSS、class等,只剩下文本内容了,哇呀呀!
ThinkPHP自动转义存储富文本编辑器内容导致读取出错的解决方法
10-25
通过以上详细说明,可以看出ThinkPHP框架在处理富文本编辑器内容时所遇到的自动转义问题以及解决方案。在实际开发中,了解并正确配置ThinkPHP的过滤规则至关重要,尤其是在涉及内容展示和安全性的场景下。
如何去除富文本中的html标签及vue、react、微信小程序中的过滤
10-17
首先,我们需要了解在富文本编辑器中获取的HTML字符串通常包含了丰富的样式和结构,但在某些场景下我们只需要纯文本内容,例如在做文章摘要、评论或用户名称显示的时候。为了去除HTML标签,可以使用JavaScript中的...
Vue-Quill-Editor富文本编辑器的使用教程
10-17
Vue-Quill-Editor是一款基于Vue.js的富文本编辑器,它利用了Quill库的强大功能,提供了丰富的文本编辑体验。Quill是轻量级的、可自定义的富文本编辑器,允许用户创建和编辑复杂的文档。下面将详细介绍Vue-Quill-...
java集成富文本编辑器KindEditor
07-09
Java集成富文本编辑器KindEditor是一项常见的Web开发任务,它能提供给用户一个可视化的文本编辑界面,使得在网页上创建、编辑带有格式的文本变得简单。KindEditor是一款开源的JavaScript富文本编辑器,适用于Java...
富文本编辑器过滤XSS攻击
最爱桃子的阿狸
05-16 9951
1.后台添加过滤器<!-- 防止CSS跨站脚本攻击: 本参数仅对各标签库生效如spring taglib/jstl/freemarker等 --> <context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-v...
若依系统富文本编辑框内容保存到后台样式被过滤问题
温柔已看透的博客
05-29 5598
若依系统富文本编辑框内容保存到后台样式被过滤问题 一.需求 进入页面,富文本编辑框里回显这条新闻内容,如下图, 然后可以在富文本编辑框里对它实现再编辑,编辑之后将html代码提交保存到后台数据库。可以点击详情页进行查看。 在提交到后台的过程中, 莫名被过滤了很多东西, 包括CSS、class等,只剩下了div标签了。 二.解决 只需一段代码即可搞定,如图: 默认防止XSS攻击是开着的,我们只需要将排除的链接添加到这里就可以了 ...
-富文本编辑器格式丢失排查记录
搬山境KL攻城狮的修炼手册
04-14 1976
文章目录一、环境说明二、问题描述三、排查1.查询前端提交内容2.查询后端接受到原始值3.源码分析四、最终结果办法 一、环境说明 项目使用若依开源框架里的“通知公告”功能; 富文本编辑器是Summernote;Summernote是一个简单的基于Bootstrap的WYSIWYG富文本编辑器summernote官方文档。 二、问题描述 编辑富文内容后,点击保存,富文本格式部分丢失!(包括<p> <span style="background-color: rgb(255, 0, 0)
修复富文本编辑器引起的XSS安全问题
weixin_45394033的博客
10-24 3559
在平时使用的富文本编辑器中也会存在恶意输入JS脚本使用js-xss 对文本进行过滤,删除掉可能存在的脚本富文本形式输入脚本的形式是 存储型xss,提交的数据存在脚本,并且保存成功。其他人访问当前页面就会触发开启httponly(禁止JS获取Cookie)输入过滤,输出转义。
富文本编辑器 xss 攻击的解决
ISaiSai的专栏
03-10 1万+
普通xss 攻击,通过html 转意就可以很好地解决但是富文本编辑器,本身就是允许输入html 标签的,不能转义需要引入第三方防止xss的包来处理,对文章内html 进行处 参考文章:http://jsxss.com/zh/starter/quickstart.html
若依ruoyi summernote 富文本提交数据 部分代码被过滤 修改xss配置可忽略过滤
test
06-17 5285
若依使用summernote富文本控提交数据后,数据库存储数据(源码中的字体样式被过滤掉了,<hr>标签也被过滤掉了): 前端Ajax Post方式提交参数,参数用url转码,转码前后,参数内容都是完整的,但是后台Controller用对象接收到的参数,字段值里的某些代码段就被过滤掉了 原因是ruoyi框架集成了xss,xss过滤了这些标签,需要在配置文里在x...
vue 用vue-ueditor-wrap 富文本编辑器发送请求,华为云xss报418恶意攻击解决办法
xm_w_xm的博客
05-21 1061
一、XSS攻击原因 首先了解一下为什么会xss攻击,因为我们用的富文本编辑器是vue-ueditor-wrap,所以他编写好的是一个html,所以他就会报xss攻击,富文本编辑器是这样的 可以看到我们编辑后的值是这样的我们传了他的html,因为他是含有他的id和class, http://jsxss.com/zh/index.html 这个是xss文档 二、XSS安装与使用 我用的是vue $ npm install xss var xss = require('xss'); ...
防御XSS攻击:基于白名单的富文本XSS后端过滤(jsoup)
热门推荐
玩具熊猫的博客
01-23 1万+
简介:  跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。   攻击原理:XSS攻击分为很多,其中一种是,攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其中的Script代码会被执行,从而达到恶意攻击用户的目的。本文主要介绍的是富文本的sc
若依quill富文本编辑器
最新发布
03-18
### 若依框架中集成 Quill 富文本编辑器的方法 若依框架是一个基于 Spring Boot 和 Vue 的前后端分离快速开发平台,其功能强大且灵活。要在若依框架中集成 Quill 富文本编辑器,可以按照以下方式实现。 #### 前端部分:引入和初始化 Quill 编辑器 在前端页面中,首先需要通过 CDN 或本地文的方式加载 Quill 所需的 CSS 和 JavaScript 文[^2]: ```html <!-- 引入 Quill 的样式 --> <link href="https://cdn.quilljs.com/1.3.7/quill.snow.css" rel="stylesheet"> <script src="https://cdn.quilljs.com/1.3.7/quill.js"></script> ``` 接着,在 HTML 中定义一个容器用于承载 Quill 编辑器,并编写脚本对其进行初始化[^3]: ```html <div id="editor-container" style="height: 200px;"></div> <script> // 初始化 Quill 编辑器 var quill = new Quill('#editor-container', { theme: 'snow', placeholder: '请输入内容...' }); // 获取编辑器中的内容(HTML 格式) function getEditorContent() { return quill.root.innerHTML; } // 设置编辑器的内容(HTML 格式) function setEditorContent(html) { quill.clipboard.dangerouslyPasteHTML(html); } </script> ``` 上述代码实现了基本的功能,包括获取和设置编辑器内容。这一步骤对于后续与后端交互至关重要。 --- #### 后端部分:处理富文本数据 在若依框架的后端模块中,通常会有一个表单提交接口来接收来自前端的数据。为了支持 Quill 编辑器生成的富文内容,可以在对应的实体类中添加字段存储这些数据[^1]。例如: ```java @Entity public class Article { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(columnDefinition = "TEXT", nullable = false) private String content; // 存储富文内容 public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getContent() { return content; } public void setContent(String content) { this.content = content; } } ``` 当接收到前端传递过来的 JSON 数据时,可以通过 `@RequestBody` 注解将其绑定到 Java 对象上。假设前端发送的是如下结构的请求体: ```json { "content": "<p>这是从 Quill 编辑器传来的富文内容。</p>" } ``` 那么后端可以直接解析该对象并保存至数据库中。 --- #### 表单同步逻辑 为了让用户能够方便地操作文章内容,还需要确保表单与 Quill 编辑器之间的双向绑定关系正常工作。具体来说,在新增或编辑文章时应做到以下两点: 1. **新增文章**:展示空白状态下的 Quill 编辑器; 2. **编辑文章**:将已有记录填充回 Quill 编辑器实例内。 以下是 Vue 组内的伪代码示例,展示了如何动态更新编辑器内容以及监听变化事以便实时反馈给服务器端: ```javascript export default { data() { return { articleData: { content: '' // 初始为空字符串 }, quillInstance: null }; }, mounted() { const toolbarOptions = [ ['bold', 'italic'], [{ list: 'ordered' }, { list: 'bullet' }] ]; this.quillInstance = new Quill('#editor-container', { modules: { toolbar: toolbarOptions }, theme: 'snow' }); // 将初始值注入到 Quill 实例里 if (this.articleData.content !== '') { this.quillInstance.setContents(this.quillInstance.clipboard.convert(JSON.parse(this.articleData.content))); } // 添加变更侦听器 this.quillInstance.on('text-change', () => { this.articleData.content = this.quillInstance.root.innerHTML; }); } }; ``` 以上片段说明了如何利用 Vue 生命周期钩子完成组挂载后的初始化动作,同时也提供了简单的回调机制以追踪用户的输入行为。 --- #### 安全注意事项 由于 Quill 支持嵌套任意合法 HTML 片段作为最终渲染结果的一部分,因此务必采取措施防止 XSS 跨站攻击风险。一种常见做法是对所有外部来源的数据执行转义过滤后再呈现出来;或者借助第三方库比如 DOMPurify 来净化潜在危险标签属性。 ```javascript import DOMPurify from 'dompurify'; // 净化函数调用 const sanitizedHtml = DOMPurify.sanitize(quill.root.innerHTML); setEditorContent(sanitizedHtml); // 更新安全版本的内容回到视图层面上去 ``` 这样既保留了灵活性又保障了一定程度上的安全性。 ---
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

草莓味少女vv

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值