有一种直觉,感觉 SpringBlade 会火,因为最近不少人问我这方面的问题。
bladex 默认实现了 Xss 防注入功能,但是在某些时候,我们需要对某些请求放行,改如何做呢?
针对这种情况,SpringBlade 提供了可配置放行方案,具体配置如下:
blade:
xss:
url:
exclude-patterns:
- /wecaht
- /xttblog
- /test这些情况可以解决需要使用 XML 的场景,比如微信 API,返回的是 xml 类型,带有 <> 标记,会被 xss 拦截过滤。
再比如,某些喜欢使用 & 符号的地方,都会被 xss 过滤。
需要注意的是,如果是 SpringBlade 的商业版新版本,则需要进行如下配置:
blade:
xss:
skip-url:
- /wecaht
- /xttblog
- /test如果针对放行的链接有特殊的需求,也可以使用 Hutool 的工具类来自己转义。
HtmlUtil.escape
转义HTML特殊字符,包括:
'替换为'"替换为"&替换为&<替换为<>替换为>
String html = "<html><body>123'123'</body></html>";
// 结果为:<html><body>123'123'</body></html>
String escape = HtmlUtil.escape(html);HtmlUtil.unescape
还原被转义的HTML特殊字符
String escape = "<html><body>123'123'</body></html>";
// 结果为:<html><body>123'123'</body></html>
String unescape = HtmlUtil.unescape(escape);HtmlUtil.removeHtmlTag
清除指定HTML标签和被标签包围的内容
String str = "pre<img src=/"xxx/dfdsfds/test.jpg/">";
// 结果为:pre
String result = HtmlUtil.removeHtmlTag(str, "img");更多相关的 API 的用法,我就不一一列举了,大家以官方文档为标准,只需要注意 API 的相关版本即可!
: » SpringBlade Xss 防注入放行配置教程
原创文章,作者:jamestackk,如若转载,请注明出处:https://blog.ytso.com/tech/aiops/252959.html