HTML那些不得不说的事儿.pdfVIP

● Velocity 安全输出实施原因 为什么要实施这个功能， 安全方面的， 就不多说了， 本人也不是安全专家。 这个方案带来的好处是： 1. 我们认为所有输入都是有恶意的 2. 我们默认会进行 html 标记的编码 3. 我们认为程序员在安全上是会忘记处理 4. 所有的恶意操作， 将会把在输出上被转义；并且这个是在架构层次解决问题。 当然， 我们从前有了“因”， 才有现在的“果”， 因果报应，因此改造带来的痛苦是存在的， 并且是沉痛的。我们也在努力减少这个方案实施的复杂程 度。 ● Velocity 安全输出原理 由于 velocity 提供了输出的事件侦听点， 我们可以轻松获得每次渲染的变量的 callback 调用。 他提供了一个接口： public interface ReferenceInsertionEventHandler extends EventHandler{ public Object referenceInsert( String reference, Object value ); } 我们实现了一个 SecurityReferenceInsertionEventHandler： public Object referenceInsert(String reference, Object value) { if (value instanceof String) { ReferenceAction action = getReferenceAction(reference); String retValue = (String) value; switch (action) { case HTML_XSS_FILTER: retValue = scanner.scan(retValue); break; case JAVASCRIPT_ENCODE: FastEntities.escapeJavaScript(retValue); break; case XML_ENCODE: retValue = XML.escape(retValue); break; case LITERAL: case URL_FILTER:// do nothing break; case HTML_ENCODE: case PURE_TEXT_HTML_ENCODE: case NOT_DEFINED: default: retValue = HTML40.escape(retValue); break; } return retValue; } return value; } 实际上， 我们仅仅是处理了，velocity 的输出 string 的类型， 因为， 其他的类型输出转义的意义不是很大。 ● Velocity 安全输出帮助 1. html 输出 什么都不执行， 按原始格式输出。 他并不是真正的不执行任何变化， 因为他会执行 xss 的过滤动作。一个非常复杂的安全处理过程， 如 果不是输出 HTML， 请勿使用。 这个表示将会消耗大量的 CPU 处理。 #SHTML($html) 2. xml 编码输出， 将会执行 xml encode 输出 #SXML($xml) 3. js 编码输出 , 将会执行 javascript encode 输出 #SJS($js) 4. 纯文本编码输出, 将会执行 html encode. 就是我们通常的使用. $text 5. 已经被业务代码 escaped 过的输出 这个目前没有什么好的办法， 只能修改业务代码， 去除这些 escaped 的地方。使用 find . |grep