主题:xss攻击

aha 2019年08月29日 63

大神:

xss攻击,我看了论坛有人问过。说是自定义一个方法,然后在方法里面判断。调用当时:${user.name,方法名}。但是我的项目马上收尾了,里面绑定基本都是${obj.key},涉及页面太多,难道要一个一个的在后面加上方法名${obj.key,方法名}????有简单办法吗?

闲大赋 2019年08月29日

org.beetl.core.statement.PlaceholderST类用于占位符输出,你可以实现自己定义以下如何输出

PlaceholderST.output = new YourOutput();

public static interface Output {
   public void write(Context ctx, Object value) throws IOException;
}

你可以判断如果value类型是字符串,再考虑使用xss

Context类的byteWriter 用于输出