浏览 4759 次
锁定老帖子 主题:开帖讨论下JS注入问题,说说解决方案。
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2013-01-21
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
发表时间:2013-01-21
362217990 写道 大家能不能再讨论下,js注入解决方案.
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 目前我用jsoup 写的工具类;哪里需要过滤就调用下即可: 1、过滤<javascript>脚本 2、过滤所有on开头的标签属性 3、过滤表单元素 不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。 |
|
返回顶楼 | |
发表时间:2013-01-21
最后修改:2013-01-21
jinnianshilongnian 写道 362217990 写道 大家能不能再讨论下,js注入解决方案.
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 目前我用jsoup 写的工具类;哪里需要过滤就调用下即可: 1、过滤<javascript>脚本 2、过滤所有on开头的标签属性 3、过滤表单元素 不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。 工具类我也考虑过,也是一种可行方案。 Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如 <table> <tr> <span>aaaa</span> </tr> </table> 如果我span外面不加<td>会把我的<span>标签去掉。 比较久以前测试发现。不知道你有没有碰到过。 |
|
返回顶楼 | |
发表时间:2013-01-21
362217990 写道 jinnianshilongnian 写道 362217990 写道 大家能不能再讨论下,js注入解决方案.
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 目前我用jsoup 写的工具类;哪里需要过滤就调用下即可: 1、过滤<javascript>脚本 2、过滤所有on开头的标签属性 3、过滤表单元素 不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。 工具类我也考虑过,也是一种可行方案。 Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如 <table> <tr> <span>aaaa</span> </tr> </table> 如果我span外面不加<td>会把我的<span>标签去掉。 比较久以前测试发现。不知道你有没有碰到过。 你写的dom不标准;tr-->td |
|
返回顶楼 | |
发表时间:2013-01-21
jinnianshilongnian 写道 362217990 写道 jinnianshilongnian 写道 362217990 写道 大家能不能再讨论下,js注入解决方案.
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 目前我用jsoup 写的工具类;哪里需要过滤就调用下即可: 1、过滤<javascript>脚本 2、过滤所有on开头的标签属性 3、过滤表单元素 不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。 工具类我也考虑过,也是一种可行方案。 Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如 <table> <tr> <span>aaaa</span> </tr> </table> 如果我span外面不加<td>会把我的<span>标签去掉。 比较久以前测试发现。不知道你有没有碰到过。 你写的dom不标准;tr-->td 嗯,是不标准,但是由于场景需要,我要就是这种不标准的。结果被格式化了,结果不得不抛弃jsonup。 |
|
返回顶楼 | |
发表时间:2013-01-23
362217990 写道 jinnianshilongnian 写道 362217990 写道 jinnianshilongnian 写道 362217990 写道 大家能不能再讨论下,js注入解决方案.
我有两个 1.是写拦截器,将所有request的参数,转换一下 2.所有需要输出的地方加上<c:out> 第一种比较简单,但是没有那么灵活,一刀切. 第二种工作量大,以前我们用第二种。 大家有更好的方案没? 目前我用jsoup 写的工具类;哪里需要过滤就调用下即可: 1、过滤<javascript>脚本 2、过滤所有on开头的标签属性 3、过滤表单元素 不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。 工具类我也考虑过,也是一种可行方案。 Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如 <table> <tr> <span>aaaa</span> </tr> </table> 如果我span外面不加<td>会把我的<span>标签去掉。 比较久以前测试发现。不知道你有没有碰到过。 你写的dom不标准;tr-->td 嗯,是不标准,但是由于场景需要,我要就是这种不标准的。结果被格式化了,结果不得不抛弃jsonup。 ESAPI |
|
返回顶楼 | |