Spring Boot从入门到进阶教程系列 -- 集成Freemarker配置(包含预防XSS攻击,多角色权限标签实现)

最新推荐文章于 2025-11-06 11:08:23 发布
原创 最新推荐文章于 2025-11-06 11:08:23 发布 · 2.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Freemarker #Java Web #XSS #安全 #Java

本文是Spring Boot从入门到进阶教程的一部分,主要介绍如何集成Freemarker并配置防止XSS攻击。首先,展示了Freemarker的基础配置;接着,实现了角色权限判断的自定义标签;然后,解释了XSS攻击的危害,并提供了全局数据转义的解决方案;最后,介绍了Freemarker配置的初始化。文章结尾提到,对于富文本的安全处理将在后续教程中讲解。
上一个教程我们讲解如何配置SpringMVC以及自定义JSON响应实体,本次教程我们将整合Freemarker配置到Spring Boot,因为我们日常开发必须是要用到模版技术,比如Freemarker,Velocity等最常用;如对上篇教程感兴趣的可点以下链接

【Spring Boot从入门到进阶教程系列 -- SpringMVC配置(包含自定义FastJSON配置)】

下面我们直接开启代码之旅


步骤1. 我们可先配置application.properties的Freemarker基本配置,可参考第一篇教程【Spring Boot从入门到进阶教程系列 -- 外部Tomcat多方式启动,加密解密配置数据】

核心配置

########################################################  
### freemarker  
########################################################  
spring.freemarker.allow-request-override=false  
spring.freemarker.cache=true  
spring.freemarker.check-template-location=true  
spring.freemarker.charset=UTF-8  
spring.freemarker.content-type=text/html  
spring.freemarker.expose-request-attributes=false  
spring.freemarker.expose-session-attributes=false  
spring.f
最低0.47元/天 解锁文章
SpringBoot开发——如何防御XSS攻击
bjzhang75的博客
09-06 1310
XSS,跨站脚本)攻击发生时,攻击者通过在目标网站上注入恶意的HTML或JavaScript代码,当其他用户浏览该网站时执行这些恶意脚本。这些脚本能够访问cookies、会话令牌或其他敏感信息,甚至可以重写HTML内容。存储型XSS:恶意脚本被存储在服务器上(如数据库、访问日志等),当用户请求含有恶意脚本的数据时执行。反射型XSS:恶意脚本在用户的请求中直接反射并执行,常见于通过URL传递数据的场景。:攻击脚本由客户端代码(如JavaScript)生成,并在DOM中动态执行。
`spring-boot-starter-security` 是 Spring Boot 提供的一个启动器,用于快速集成 Spring Security 框架
BLOG域名:programb.blog.youkuaiyun.com
05-07 1082
是一个非常有用的启动器,它简化了在 Spring Boot 应用程序中集成 Spring Security 的过程。通过添加依赖、配置类和自定义用户加载逻辑,你可以快速构建安全Web 应用程序。Spring Security 提供了丰富的功能,包括认证、授权、CSRF 保护等,能够满足大多数应用程序的安全需求。技术管理策略。
FreeMarker 进阶用法:输出格式与转义机制全解析
IT技术学习与工作笔记分享
09-27 872
FreeMarker 的输出格式体系以:HTML 输出,自动安全转义:XML 输出:JSON 输出,防止注入:JS 嵌入安全输出:组合多种格式,支持嵌套FreeMarker 输出格式体系以为核心,采用策略模式和责任链模式,实现了自动转义、类型安全和高度可扩展的输出机制。自动转义与禁止重复转义设计,有效防止安全漏洞。业务集成与扩展灵活,调试优化手段丰富。通过结构化梳理与多维图表,开发者不仅能快速掌握用法,更能透彻理解底层原理,为高质量、安全的模板输出系统奠定坚实基础。
Freemarker中如何避免xss漏洞
he_qiao_2010的专栏
06-20 3760
什么是XSS漏洞 试想一下,如果我们开发一个订单系统,订单名称如果没有做限制,允许用户输入任意字符,那么就有产生XSS的危险。攻击者可以很容易编写一个恶意JS脚本,然后将当前登录用户的cookie或者其他敏感信息抓取到,发送给攻击者自己,这就是XSS(跨站脚本)攻击。如何解决这个问题,首先我们想到的是在用户输入订单的时候,我们对订单名称做限制,不允许输入特殊字符。这样是可以避免的,不过对于一个大的...
Spring Boot应用中的XSS防御完整解决方案
最新发布
weixin_30923011的博客
11-06 658
虽然输入校验能有效阻止大部分非法数据,但在某些动态内容场景(如富文本编辑器、评论系统)中,需允许部分HTML标签存在。此时单纯依赖白名单校验不足以覆盖所有情况,必须引入请求级全局过滤机制,对所有传入参数进行统一清洗。Java Servlet规范提供的Filter接口非常适合此类任务。通过自定义XssFilter,可以在请求到达Controller之前完成参数脱敏,实现“透明化”防护。防护层级技术手段优点局限字符集归一化统一编码表示,防绕过。
springboot-freemarker:包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBootSpringMVC、MyBaits、Bootstrap3、Druid、Freemarker集成示例有:增删改查及分页;防XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当中的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
前端安全系列(一):如何防止XSS攻击
qq_27084325的博客
06-27 338
简介 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混...
FreeMarker 自动转义和格式化HTML和XML输出,预防xss
weixin_33766805的博客
08-09 1563
为什么80%的码农都做不了架构师?>>> ...
freemarker默认escape html 防范xss
weixin_33757911的博客
10-15 828
为什么80%的码农都做不了架构师?>>> ...
spring boot xss防御
11-05
Spring Boot应用中,XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的安全威胁,它允许攻击者向Web页面注入恶意脚本,从而影响用户的安全。本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中...
精选资源
管理系统系列--MYLIBRARY图书管理系统 是基于Spring Boot + Mybatis 开发的图书管理系统.zip
02-25
- **Spring Boot与Mybatis的集成**:通过Spring Boot的自动配置,可以轻松地将Mybatis接入项目,实现数据访问层的搭建。 - **RESTful API**:使用Spring BootWeb MVC功能,构建RESTful风格的API,支持前后端分离...
Springboot(十八)SpringBoot整合freemarker
徐海兴的专栏
08-19 547
首先建一个springboot工程,引入freemarker依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-freemarker</arti...
freemarker模版注入
l_l_c_q的博客
08-25 2455
freemarker模版注入
freemarker采坑
Chandler的博客
08-05 439
option/aOption..但凡含有option的都会被当做是freemarker的关键字:如果model传入的对象中含有这个字段,不管对应字段是否有值,都会报异常。
关于FREEMARKER的一些总结
洋葱水墨
07-27 2121
问题代码: ${student.birthday},STUDENT中BIRTHDAY为DATE类型的 问题:13:03:09.735 ERROR freemarker.runtime - Can't convert the date to string, because it is not known which parts of the date variable are in use.
XSS漏洞攻守之道
坏蛋呆呆的博客
04-28 2553
1.1 什么是XSS漏洞 跨站脚本攻击(Cross Site Script,为了不和css混淆,故将其缩写为XSS)通常发生在客户端,攻击者在Web页面中插入恶意的JavaScript代码(包括VBScript和ActionScript代码等),用户浏览此页面时,会执行这些恶意代码,从而使用户受到攻击。本质:是一种HTML的注入,恶意代码数据当成了HTML代码的一部分被执行。 1.2 XSS攻击形式 DOM跨站攻击攻击者在为规范JavaScript的HTML页面中插...
XSS攻击处理方法
欢迎
09-10 2013
一:因为项目使用了freemarker模板,需要全局转义freemarker输出   二:使用插件 xss.js,在使用html(),append()等地方,将具体的每个字段内容转义 filterXSS(字段内容),然后在使用的地方直接使用。 也可以在append()等方法的地方使用,而不必用在具体的字段上,但有个缺点,需要自定义配置过滤项,否则片接的html代码片段如果带有样式和私有的属性...
有效预防xss_防范XSS攻击
weixin_32179749的博客
12-24 240
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。问题描述:在页面上有个隐藏域:当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上如果此时action被用户恶意修改为:***"alert(1);"***此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。解决思路:该问题是由于对用户输入数据(隐藏域)未做任何处理...
如何防止XSS攻击
qq_32907491的博客
08-08 649
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
XSS攻击详解
热门推荐
weixin_47450807的博客
03-01 3万+
本篇博客主要总结一下什么是XSS攻击,并且如何防范XSS攻击。 一、什么是XSS攻击 XSS攻击中文名称为:跨站脚本攻击XSS的重点不在于跨站,而在于脚本的攻击XSS攻击的工作原理:攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌套在该页面的代码就会执行,因此会达到攻击用户的目的。 XSS的分类:XSS攻击最主要分为如下几类,反射型,存储型,DOM-based型。反射型和DOM-based型可以归类于非持久性XSS攻击。存储型可以归类于持久性XSS攻击。 二、反射型
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值