EscapeHtmlReference的escape方法调用以下方法实现:
StringEscapeUtils.escapeHtml(param);  再调用
org.apache.commons.lang.Entities.HTML40.escape(writer, string);
代码如下:
public void escape(Writer writer, String str) throws IOException {
    int len = str.length();

    for(int i = 0; i < len; ++i) {
        char c = str.charAt(i);
        String entityName = this.entityName(c);
        if(entityName == null) {
            if(c > 127) {
                writer.write("&#");
                writer.write(Integer.toString(c, 10));
                writer.write(59);   //就是个分号
            } else {
                writer.write(c);
            }
        } else {
            writer.write(38);
            writer.write(entityName);
            writer.write(59);
        }
    }

}

我们也可以自己调用
StringEscapeUtils.escapeHtml(param);
比如:
String param = request.getParameter("p");
String x = StringEscapeUtils.escapeHtml(param);
System.out.println(x);

输入 <script>alert(/xxx/)</script>  输出 &lt;script&gt;alert(/xxx/)&lt;/script&gt;

velocity 也可以自定义 EventHandler 处理xss,配置EscapeHtmlReference 替换成自己的EventHandler 
<bean id="velocityConfigurer"
      class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">
    <property name="resourceLoaderPath" value="/WEB-INF/pages/"/>
    <property name="velocityProperties">
        <props>
            <prop key="input.encoding">utf-8</prop>
            <prop key="output.encoding">utf-8</prop>
            <prop key="eventhandler.referenceinsertion.class">org.apache.velocity.app.event.implement.EscapeHtmlReference</prop>
            <prop key="eventhandler.escape.html.match">/^(?!\$\!?unesc_).*/</prop>
        </props>
    </property>
</bean>
												


											
velocity 的 escape实现的更多相关文章
	

    
								
  1. maven+springmvc+spring+mybatis+velocity整合
		
      一.ssmm简介 ssmm是当下企业最常用的开发框架架构 maven:管理项目jar包,构建项目 spring:IOC容器,事务管理 springmvc:mvc框架 myBatis:持久层框架 v ...
    
		
    2. 
						
  2. HDU 3533 Escape (BFS + 预处理)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total S ...
    
		
    3. 
						
  3. 《Velocity java开发指南》中文版(下)转载
		
    文章出自:http://sakyone.iteye.com/blog/524292 8.Application Attributes Application Attributes (应用程序属性)是和 ...
    
		
    4. 
						
  4. 《Velocity 模板使用指南》中文版[转]
		
    转自:http://blog.csdn.net/javafound/archive/2007/05/14/1607931.aspx <Velocity 模板使用指南>中文版 源文见 htt ...
    
		
    5. 
						
  5. HDU 3533 Escape(bfs)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Total Su ...
    
		
    6. 
						
  6. HDU 3533 Escape(大逃亡)
		
    HDU 3533 Escape(大逃亡) /K (Java/Others)   Problem Description - 题目描述 The students of the HEU are maneu ...
    
		
    7. 
						
  7. 【算法】Escape
		
    The students of the HEU are maneuvering for their military training. The red army and the blue army  ...
    
		
    8. 
						
  8. Velocity初始化过程解析
		
    velocity就是由template,engine,context组成. 1.首先创建一个template(如果是用在web上就是一个html文件),将需要参数化或实例化的地方用跟context有关 ...
    
		
    9. 
						
  9. HDU3533 Escape —— BFS / A*算法 + 预处理
		
    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=3533 Escape Time Limit: 20000/10000 MS (Java/Others)  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. BEGINNING SHAREPOINT&#174; 2013 DEVELOPMENT 第9章节--client对象模型和REST APIs概览 client对象模型API范围
			
    BEGINNING SHAREPOINT® 2013 DEVELOPMENT 第9章节--client对象模型和REST APIs概览 client对象模型API范围         本章之前提到过. ...
    
			
    2. 
						
  2. PHP 命名空间namespace 和 use
			
    慕课网教程: http://www.imooc.com/video/7834 PHP 中命名空间的概念和高级语言(如C#.JAVA)有很大的差异,一度让我混淆甚至怀疑它存在的意义和目的. 今天找时间学 ...
    
			
    3. 
						
  3. Angular2升级到Angular4
			
    angular4终于在两天前发布了正式版本,那么怎么升级呢?其实angular2和angular4之间属于平滑过渡,并不像1和2之间颠覆性的重写代码. npm uninstall -g @angula ...
    
			
    4. 
						
  4. Android中图片的三级缓存策略
			
    在开发过程中,经常会碰到进行请求大量的网络图片的样例.假设处理的不好.非常easy造成oom.对于避免oom的方法,无非就是进行图片的压缩.及时的回收不用的图片.这些看似简单可是处理起来事实上涉及的知 ...
    
			
    5. 
						
  5. 设备模型的基础---kobject,kset
			
    设备模型的基础是kobject,kset,kobj_type.kobject本身并没有什么意义,真正有用的地方在于嵌入了kobject的结构体(对象),kobject可以看成是一个最小单元,sysfs ...
    
			
    6. 
						
  6. jdbctemplate中的query(sql,params,mapper)与queryForList(sql,params,class)区别
			
    query(sql,params,mapper):是针对自定义对象类型的查询语句,比如: jdbcTrade.query(sql, params, new AMapper()); queryForLi ...
    
			
    7. 
						
  7. Redis的README.md
			
    This README is just a fast *quick start* document. You can find more detailed documentation at http: ...
    
			
    8. 
						
  8. 手游后台PVP系统网络同步方案总结
			
    游戏程序 平台类型:   程序设计:   编程语言:   引擎/SDK:   概述 PVP系统俨然成为现在新手游的上线标配,手游Pvp系统体验是否优秀,很大程度上决定了游戏的品质.从最近半年上线的新手 ...
    
			
    9. 
						
  9. Help Tomisu UVA - 11440 难推导+欧拉函数,给定正整数N和M, 统计2和N!之间有多少个整数x满足,x的所有素因子都大于M (2<=N<=1e7, 1<=M<=N, N-M<=1E5) 输出答案除以1e8+7的余数。
			
    /** 题目:Help Tomisu UVA - 11440 链接:https://vjudge.net/problem/UVA-11440 题意:给定正整数N和M, 统计2和N!之间有多少个整数x满 ...
    
			
    10. 
						
  10. OC 基础语法
			
    :Obect c 与 c 语言的区别 () 后缀名不一样,C语言是.c 结尾 ,OC 是 .h结尾. () 输出信息不同 C语言是用print() 输出,OC 是用NSLog输出. () NSLog会 ...
    
			
    11.