springmvc,freemarker模式下脚本注入问题

最新推荐文章于 2024-08-25 23:26:52 发布
原创 最新推荐文章于 2024-08-25 23:26:52 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring mvc #脚本

本文探讨了在前后端开发过程中如何确保数据的安全传递,包括从后端加载数据并转换为前端可安全使用的格式,避免脚本注入等安全问题。
后台:
        ContractChange change = contractChangeService.load(id);
        String[] contractJsonArray = change.getResult().split("#timelead#");

        List<ContractDetail> detaillists = JacksonUtil.deserialize2list(contractJsonArray[1], ContractDetail.class);
        List<ContractItem> itemlists = JacksonUtil.deserialize2list(contractJsonArray[2], ContractItem.class);

        model.addAttribute("contractDetailJson", JacksonUtil.list2String(detaillists));
        model.addAttribute("contractItemJson",JacksonUtil.list2String(itemlists));
如果直接把contractJsonArray[1]给到页面还是会引起脚本注入问题,应该是contractJsonArray[1]中包含更多的字段导致出问题。转成实体对象后再转成json


前端:

[#noescape]
<script type="text/javascript">
      var contractDetailJson = $.parseJSON("${contractDetailJson?json_string}");
      var contractItemJson = $.parseJSON("${contractItemJson?json_string}");
</script>
[/#noescape]
在前端当有 

脚本拼接生成HMTL语句,例如:
"<tr><td>"+textVal+"<td></tr>" 
将这种情况修改为:var $a = $("<tr><td></td></tr>"); $a.find('td:eq(0)').text(textVal);


Freemarker 自定义标签 简单案例
11-01
里面 集合了 一个 简单的 Freemarker demo 代码 和一个 freemarker 自定义标签代码
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库时,则application.properties当中的mybatis分页插件需要改成支持sqlite; 示例启动...
FreeMarker整合Spring 3
hoojo
04-19 2313
开发环境: System:Windows WebBrowser:IE6+、Firefox3+ JavaEE Server:tomcat5.0.2.8、tomcat6 IDE:eclipse、MyEclipse 8 开发依赖库: JavaEE5、Spring 3.0.0.M4、FreeMarker 2.3.16 Email:hoojo_@126.com Blog:http://blog.youkuaiyun.com/IBM_hoojo http://hoojo.cnblogs.com/ 1、 新建
freemarker模版注入
最新发布
l_l_c_q的博客
08-25 2330
freemarker模版注入
FreeMarker的Html转义——防止JS注入
如斯,如己
12-03 1871
&lt;!--  FreeMarker的Html转义 测试:     1. ${getFormValue(item.title)} 无效 --&gt; &lt;a href="javaScript: openNewsDetail('${getFormValue(Id)}');" target="_blank "&gt;${title?html}&lt;/a&gt; 此时,${title?ht...
freemarker注册全局spring bean变量
kevin_2033的博客
01-06 538
初衷:参考了好多资料,也看了官方API,可能是因为理解能力有限都没能实现将spring bean注册为全局变量。 场景:在ftl中需要访问一个或多个spring bean中的属性 实现: 第一步: 创建一个java类实现freemarker的TemplateHashModel接口  如下图 上图中注入了一个DistributorInitialization的spring bean,重
SpringMVCFreemarker整合配置示例
与JSP不同,Freemarker不依赖于Servlet容器,也不支持Java脚本嵌入,因此更加安全,避免了在页面中编写Java代码导致的逻辑混乱问题。此外,Freemarker具有良好的性能表现,支持模板缓存、宏定义、条件判断、循环遍历...
SSM框架整合教程:Spring, SpringMVC, Mybatis与FreeMarker
SpringMVCSpring框架的一部分,是一个基于Java的实现了MVC设计模式的请求驱动类型的轻量级Web框架。它将Web层进行分离,提供了一种更清晰的方式来处理用户的请求,同时与Spring框架的其它部分可以无缝集成。 ### ...
maven+spring+springMvc+mybaits+freemarker
03-27
在实际开发中,这样的组合提供了强大的功能,如事务管理、安全控制、数据校验、依赖注入等。同时,由于这些组件都是成熟的开源项目,有着丰富的社区支持和文档,使得问题的解决和学习变得更加容易。然而,这也要求...
SpringMVC精品资源--SpringMVC+Mybatis 脚手架.zip
02-18
"ahao5"可能是压缩包中的一个子文件夹,通常在这种情况下,它可能包含了项目的源码、配置文件、数据库脚本、文档等资源。开发者可以从中学习到如何配置SpringMVC和Mybatis的整合,如在Spring的配置文件中定义数据源...
freemarker的测试结果框架_总结下Java高级框架前半部分:
weixin_39649965的博客
11-26 158
SpringMVC:1.springMvcspring组织出品的一个表现层框架, 和struts2属于同类型的框架.2. springMvc作用:a. 接收请求和从请求中接收参数 b. 将处理好的数据返回给页面, 并在页面展示3.springMvc三大组件: 处理器映射器, 处理器适配器, 视图解析器。 springMVC中需要我们写的有哪些: 处理器也就是我们写的controller, 视...
FreeMarker执行系统命令
weixin_33967071的博客
11-16 898
1、寻找可以上传FTL模板的漏洞点 2、尝试注入FTL模板 1 2 <#assigntest="freemarker.template.utility.Execute"?new()> ${test("id")} 3、查找上传的FTL文件保存路径 1 2 <#assigntest="freem...
Java中使用freemarker教程之list循环
W
03-09 7734
转载: https://blog.youkuaiyun.com/Cheung1021/article/details/6146239使用参考: spring boot入门之web篇在Freemarker应用中经常会遍历List获取需要的数据,并对数据进行排序加工后呈现给用户。那么在Freemarker中如何遍历...
Freemarker基本语法与案例讲解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-13 5348
Freemarker是一个Java模板引擎,用于生成动态的网页、电子邮件、XML文档、JSON等内容。它基于模板和数据模型,将数据与模板进行结合。
Java安全之freemaker模版注入
AS011x的博客
09-19 2029
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。在线手册:什么是 FreeMarker?- FreeMarker 中文官方参考手册模板文件存放在Web服务器上,当访问指定模版文件时, FreeMarker会动态转换模板,用最新的数据内容替换模板中${...}的部分,然后返回渲染结果。${...}: FreeMarker将会输出真实的值来替换大括号内的表达式,这样的表达式被称为(插值)
FreeMarker入门到简要分析模版注入
weixin_65550121的博客
06-26 1143
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。模板编写为FreeMarker Template Language (FTL)。它是简单的,专用的语言,不是像PHP那样成熟的编程语言。那就意味着要准备数据在真实编程语言中来显示,比如数据库查询和业务运算, 之后模板显示已经准备好的数据。
4.Spring Boot + Freemarker 中的弯弯绕!
Javaer
05-23 647
Spring Boot + Freemarker 中的弯弯绕! 昨天说手把手教大家整一个代码自动生成工具,用到了 Freemarker,结果有不少小伙伴表示对 Freemarker 不熟悉,这不,松哥赶紧整一个 Spring Boot+Freemarker 的教程出来,和大家分享下 Freemarker 中的常见操作。 [TOC] 大家在网上可能都看到过一些代码生成工具,很酷!MyBatis、Service、Controller、Model 全部都可以自动生成。 这些工具的实现其实非常 Easy,只要
【代码审计】模板注入
TeamsSix 的 优快云 空间
12-03 1361
0x00 介绍 这里主要学习下 FreeMarker 模板注入FreeMarker 是一款模板引擎,FreeMarker 模板文件与 HTML 一样都是静态页面,当用户访问页面时,FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染,然后将渲染后的结果返回到浏览器中。 0x01 FreeMarker 模板 FreeMarker 模板语言(FreeMarker Template Language,FTL)由 4 个部分组成,分别如下: 文本:包括 HTML 标签与静态文本等静态内容,该部分
FreeMarker教程
热门推荐
01-25 2万+
(本文乃是原创,作者是 Lubby,转载请说明来源,谢谢!)   一、什么是模板引擎,为什么要用模板引擎 在B/S程式设计中,常常有美工和程序员二个角色,他们具有不同专业技能:美工专注于表现——创建页面、风格、布局、效果等等可视元素;而程序员则忙于创建程式的商业流程,生成设计页面要显示的数据等等。 很多时候,要显示的资料在设计的时候并不存在,它们一般是在运行时由程式产生的,比如执行“价格不高
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值