论坛首页 Java企业应用论坛

开帖讨论下JS注入问题,说说解决方案。

浏览 4759 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2013-01-21  
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?
   发表时间:2013-01-21  
362217990 写道
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?

目前我用jsoup 写的工具类;哪里需要过滤就调用下即可:
1、过滤<javascript>脚本
2、过滤所有on开头的标签属性
3、过滤表单元素
不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。
0 请登录后投票
   发表时间:2013-01-21   最后修改:2013-01-21
jinnianshilongnian 写道
362217990 写道
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?

目前我用jsoup 写的工具类;哪里需要过滤就调用下即可:
1、过滤<javascript>脚本
2、过滤所有on开头的标签属性
3、过滤表单元素
不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。

工具类我也考虑过,也是一种可行方案。


Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如
<table>
<tr>
       <span>aaaa</span>
</tr>
</table>

如果我span外面不加<td>会把我的<span>标签去掉。  比较久以前测试发现。不知道你有没有碰到过。
0 请登录后投票
   发表时间:2013-01-21  
362217990 写道
jinnianshilongnian 写道
362217990 写道
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?

目前我用jsoup 写的工具类;哪里需要过滤就调用下即可:
1、过滤<javascript>脚本
2、过滤所有on开头的标签属性
3、过滤表单元素
不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。

工具类我也考虑过,也是一种可行方案。


Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如
<table>
<tr>
       <span>aaaa</span>
</tr>
</table>

如果我span外面不加<td>会把我的<span>标签去掉。  比较久以前测试发现。不知道你有没有碰到过。

你写的dom不标准;tr-->td
0 请登录后投票
   发表时间:2013-01-21  
jinnianshilongnian 写道
362217990 写道
jinnianshilongnian 写道
362217990 写道
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?

目前我用jsoup 写的工具类;哪里需要过滤就调用下即可:
1、过滤<javascript>脚本
2、过滤所有on开头的标签属性
3、过滤表单元素
不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。

工具类我也考虑过,也是一种可行方案。


Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如
<table>
<tr>
       <span>aaaa</span>
</tr>
</table>

如果我span外面不加<td>会把我的<span>标签去掉。  比较久以前测试发现。不知道你有没有碰到过。

你写的dom不标准;tr-->td




嗯,是不标准,但是由于场景需要,我要就是这种不标准的。结果被格式化了,结果不得不抛弃jsonup。
0 请登录后投票
   发表时间:2013-01-23  
362217990 写道
jinnianshilongnian 写道
362217990 写道
jinnianshilongnian 写道
362217990 写道
大家能不能再讨论下,js注入解决方案.

我有两个
1.是写拦截器,将所有request的参数,转换一下
2.所有需要输出的地方加上<c:out>

第一种比较简单,但是没有那么灵活,一刀切.
第二种工作量大,以前我们用第二种。

大家有更好的方案没?

目前我用jsoup 写的工具类;哪里需要过滤就调用下即可:
1、过滤<javascript>脚本
2、过滤所有on开头的标签属性
3、过滤表单元素
不喜欢过滤器,不使用c:out,太全局了。比如还有屏蔽关键词过滤等等都是做成工具类哪里需要直接调用下处理。

工具类我也考虑过,也是一种可行方案。


Jsoup有个问题,碰到错误html格式,他会去掉一些标签。比如
<table>
<tr>
       <span>aaaa</span>
</tr>
</table>

如果我span外面不加<td>会把我的<span>标签去掉。  比较久以前测试发现。不知道你有没有碰到过。

你写的dom不标准;tr-->td




嗯,是不标准,但是由于场景需要,我要就是这种不标准的。结果被格式化了,结果不得不抛弃jsonup。

ESAPI
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics