Wang yongshan created VELOCITY-884:
--------------------------------------
Summary: 希望Velocity能够增加一个新语法(比如:$#{...}),为了方便解决XSS漏洞问题。
Key: VELOCITY-884
URL: https://issues.apache.org/jira/browse/VELOCITY-884
Project: Velocity
Issue Type: New Feature
Components: Engine
Affects Versions: 2.0
Reporter: Wang yongshan
Priority: Minor
Fix For: 2.1.x
Velocity 的默认*{color:red} $[!]{...}{color}* 语法输出是原始内容输出,没有对造成 *XSS* 漏洞的特殊字符(比如:<
> 等)进行转义,这样对于 Web 开发来说很容易就引入了 XSS 漏洞;虽然可以通过定义转义 Tools
来进行二次转义(例如:*$esp.encodeHTML($!{issue.description})*),但是这样非常麻烦。
因此,我有个想法,希望 Velocity
像前端模板引擎一样,*变量输出默认是转义的*,当你不需要转义时,可以通过特殊的语法(例如:$#{...})进行输出,这样我们在开发 Web
页面时就不会因为忘记二次转义而引入了 XSS 漏洞(因为 Web 页面开发大多数情况下是需要转义的)。
我对 Velocity-1.7 版本的 *Parser.jjt* 语法树文件进行了修改,增加了 *$#* 语法前缀,该语法前缀用于原始内容输出,而
*$[!]{...}* 则默认转义输出:
{code:html}
<body>$#{screen_content}</body>
#foreach()
<li> $!{user.name} </li>
#end
{code}
希望能在 Velocity-2.x 版本中得到默认的实现支持。
祝愿 Velocity 越来越好!
--
This message was sent by Atlassian JIRA
(v6.4.14#64029)
